Une base de données ouverte contenait des identifiants Spotify

Selon vpnMentor, la source de la base de données est inconnue, mais elle n'appartient pas au service de streaming musical lui-même. Les données peuvent provenir d'autres sources, par exemple, il peut s'agir de données volées ou d'une autre plate-forme, qui peuvent avoir été collectées pour une utilisation ultérieure dans le détournement de comptes d'utilisateurs. On estime qu'environ 300 000 à 350 000 comptes ont été affectés par cette fuite. L'adresse e-mail, les données personnelles, le pays de résidence et les informations de connexion (y compris le nom d'utilisateur et le mot de passe) peuvent être utilisés.

Les informations n'étaient pas chiffrées. Par conséquent, elles auraient pu être utilisées pour accéder à des comptes, ou pour effectuer des attaques de credential stuffing, si les combinaisons identifiant/mot de passe étaient utilisées sur d'autres plateformes, ou pour accéder à d'autres applications. VpnMentor a découvert la base de données le 3 juillet. Après vérification, l'organisation a contacté Spotify le 9 juillet. Entre le 10 juillet et le 21 juillet, le service de streaming musical a lancé une réinitialisation progressive du mot de passe pour les utilisateurs identifiés dans la base de données afin de s'assurer qu'il n'y a pas besoin d'une combinaison nom d'utilisateur / mot de passe public.