Você deve imaginar que hackers são as pessoas mais preocupadas com a própria segurança online por saberem de todas as técnicas possíveis e de todos os riscos que correm. Bom, pode até ser verdade, mas nem sempre: hackers agruparam senhas de mais de 350 mil contas do Spotify roubadas de outros serviços. O arquivo foi descoberto porque estava na nuvem, acessível para quem quisesse ver. Isso mesmo: sem senha.

O banco de dados foi descoberto pelos pesquisadores de segurança da informação da vpnMentor. Eles dizem que as senhas foram compiladas por meio de uma técnica conhecida como credential stuffing. Nela, os agentes pegam logins e senhas de outros vazamentos e testam em um serviço que eles têm como alvo — neste caso, o Spotify. Como muita gente reutiliza suas senhas em vários sites, algumas funcionam. Aí, são adicionadas à lista.

Ainda não se sabe quem são as pessoas por trás do banco de dados nem o que elas pretendiam fazer com ele. O CNET diz que pode haver dois usos para roubar contas de Spotify. Um deles é alugar as contas premium roubadas a outras pessoas por um preço menor do que o serviço pratica. O outro é abastecer redes de robôs para manipular os serviços de streaming, usando técnicas obscuras para ganhar mais dinheiro de direitos autorais e melhorar a posição de artistas e bandas nas listas de mais ouvidas.

Os pesquisadores da vpnMentor encontraram o arquivo em uma nuvem pública enquanto procuravam vazamentos de senhas na rede. Eles também não garantem que o arquivo de senhas exposto não foi copiado por outros grupos. Os especialistas conseguiram obter os endereços IP usados para alterar o banco de dados, muito provavelmente de servidores proxy usados para disfarçar a localização real dos agentes mal-intencionados — pelo menos esse cuidado com a segurança eles tiveram.

A vpnMentor diz ter comunicado o Spotify e que a empresa de streaming pediu aos usuários para trocarem suas senhas.

Seja como for, a notícia é um bom lembrete para você parar de usar a mesma senha em vários sites e serviços, pois isso faz com que qualquer vazamento possa comprometer a sua segurança. A melhor recomendação é definir senhas únicas para cada serviço. Se for difícil lembrar de tudo, use um gerenciador de senhas — praticamente todos os navegadores vêm com uma ferramenta desse tipo, e há ótimos serviços independentes, como LastPass, 1Password e Bitwarden. Outra dica é ativar a autenticação de dois fatores sempre que possível.