Spotify varnar för stulna lösenord
Spotify meddelade via sin blogg idag att det har utsatts för ett intrång där utomstående kan ha fått tag på krypterade lösenord. De är ganska vaga i sitt inlägg och använder mycket ord som ”kan ha kommit över” och liknande. Spotify rekommenderar alla som har ett konto skapat innan den 19 December 2008 att byta sitt lösenord. Och som vanligt är inte det största problemet att någon kan komma åt ditt Spotify-konto utan att du kanske har använt samma lösenord på andra tjänster. De poängterar också att ingen har kommit över någon komplett databas med lösenord och inte heller kreditkorts-information.
Läs mer om hur du kan hantera dina lösenord på ett säkrare sätt i våran guide.
Länk: Spotify security notice
Update 2009-03-05:
Spotify klargör mer på sin blogg.
- You had a Spotify account before December 19th, 2008
- You have not changed your password since December 19th, 2008
- You have a weak password
- Someone from a small group of people asked our servers specifically to see your account details before that date
- Someone from the same small group decided to put computation time towards guessing your password
Mer hos Ohsohightech
- Foxmarks synkroniserar dina lösenord av Ola, måndag, 08 september 2008
- Se om någon annan har loggat in på din Gmail av Ola, fredag, 03 oktober 2008
- Exportera och importera dina Firefox lösenord av Ola, tisdag, 15 april 2008
- Vad göra om du har problem med Gmail? av Ola, onsdag, 24 september 2008
- Kul mashup på Spotify och Last.FM av Ola, måndag, 31 augusti 2009
Bra att dom löst problemet och att man enkelt kan byta lösenord.
Det är väl Despotify dom hänvisar till, misstänker jag.
Se denna kommentar från Despotifys källkod:
* Prior to the 19th of December 2008 Spotify happily told clients
* (including ours!) almost everything it knew about a particular
* user, if they asked for it.
*
* Legitimate requests for this is for example when you add
* someone else’s shared playlist.
*
* This allowed clients to see not only the last four digits of the
* credit card used to subscribe to the premium service, whether
* the user was a paying customer or preferred commercials, but
* also very interesting stuff such as the hash computed from
* SHA(salt || ” ” || password).
*
* In theory (HE HE!) this allowed any registered user to request
* somebody else’s user data, get ahold of the hash, and then use
* it to authenticate as that user.
*
* Fortunately, at lest for Spotify and it’s users, this is not
* the case anymore. (R.I.P poor misfeature)
*
* However, we urge people to change their passwords for reasons
* left as an exercise for the reader to figure out.