Bytt Spotify-passord!

Bytt Spotify-passord!

Slik har den åpne Spotify-klienten Despotify fått tilgang til brukerkontoer på Spotify.

- Forrige uke ble vi varslet om en gruppe som har brutt seg inn i våre protokoller.

Slik begynner Spotify en sikkerhetsadvarsel i sin blogg.

- Etter å ha undersøkt dette har vi konkludert med at denne gruppen har skaffet seg tilgang til informasjon som kan gi dem mulighet til å gjette passord og potensielt finne det rette.

Dermed bør du altså bytte passord, om du er en bruker av musikksystemet Spotify. I tillegg til passord konkluderer Spotify med at fødselsdag, postkode og faktureringsadresse også kan ha lekket.

Folka som har kommet over informasjonen, er gruppen bak den alternative versjonen Despotify, bekrefter administrerende direktør og Spotify-gründer Daniel Ek per epost overfor Computer Sweden.

- Ikke hacket database

Gruppen Despotify, som består av profesjonelle sikkerhetsfolk og hobbynerder, har laget en uoffisiell, åpen-kildekode-basert versjon av Spotify som snakker med samme servere som Spotify gjør.

Via den alternative klienten har gruppen klart å hente informasjon om brukerkontoen fra serverne som gir dem teoretisk mulighet til å klare å knekke enkeltbrukeres passord.

- De har helt enkelt lykkes i å bygge en klient som kan prate med Spotifys servere. For å være veldig tydelig betyr det ikke at de kunne komme inn i noen av våre databaser, men bare få tilgang informasjon vi har gjort tilgjengelig for kunden på individuelle brukere, skriver Ek.

Mer konkret teknisk informasjon om hva som har skjedd, kan leses i bloggen. Kort fortalt er de lagrede passordene og kommunikasjonen med Spotifys servere kryptert. Men en kombinasjon av en bug og Despotifys revers-ingeniørvirksomhet mot Spotifys krypterte strøm-protokoll kan ha gitt uvedkommende tilgang til de saltede passord-hashene.

Det er kun kontoer registrert før 19. desember 2008, og som ikke har endret passord siden den datoen, som er i hackefare, ifølge Spotify-bloggen. Om uvedkommende før 19. desember 2008 klarte å knekke den krypterte Spotify-strømprotokollen, kan de ha fått tilgang til enkeltbrukeres passord-hash som setter kontoen i fare gitt at de kan brukernavnet til individuelle brukere.

Vil gjerne ha plugins

Ek vil ikke lobbyere for å drepe Despotify-prosjektet, til tross for at det har gitt Spotify hodebry.

- Selvsagt liker vi ikke at folk forsøker å hacke Spotify. Samtidig tolker vi Despotify som et ønske om å gjøre Spotify mer åpent for utviklere for å bygge ting oppå Spotify. At utviklere skriver programvare for Spotify er definitivt noe vi oppmunterer til, og vi kommer til å jobbe hardt for å gjøre API-er tilgjengelig slik at uviklere kan øke antallet funksjoner på plattformen Spotify finnes på, skriver Ek, og fortsetter med en liten, svak pekefiner:

- Dette må dog gjøres samtidig som vi respekterer den avtalen vi har med rettighetsinnehavere og ikke svekker vår inntjening til dem. For at Spotify skal lykkes på lang sikt er det viktigste vi kan gjøre å generere inntekter til artister og låtskrivere, mener Ek.