Spotify-Hack: Ändert euer Account-Passwort jetzt
Ihr besitzt ein Konto bei dem skandinavischen Musik-Streaming-Dienst Spotify? Dann ist jetzt der Zeitpunkt gekommen, das vielleicht schon etwas angestaubte Account-Passwort zu ändern.
Der Apple Music-Konkurrent, dies geht aus übereinstimmenden Medienberichten hervor, hat momentan mit einer Veröffentlichung von zahlreichen Nutzer-Passwörter zu kämpfen, die sich an mehreren Stellen im Netz einsehen lassen und im schlimmsten Fall zur Übernahme bestehender Accounts eingesetzt werden können.
Nach Angaben des US-Portals Techcrunch soll Spotify zu Protokoll gegeben haben, keinen Hacker-Angriff ausgemacht haben zu können. Woher die Passwort-Listen stammen ist unklar.
Bei den Account-Listen, die zuerst auf dem Textschnipsel-Portal Pastebin auftauchten, handelt es sich ausschließlich um Spotify-Accounts und nicht etwa um E-Mail-Zugänge o.ä., die auch bei Spotify funktionierten. Diese informieren neben Nutzername und Passwort nicht nur über den Account-Typ (Premium, Familie etc.) sondern auch über den Tag der Erstellung und das Datum der nächsten Abbuchung. Innerhalb der jetzt veröffentlichten Listen befinden sich Accounts aus aller Welt.
In freier Wildbahn: Spotify-Account-Listen
Auf der Suche nach der möglichen Ursache hat die US-Journalistin Sarah Perez den Kontakt zu mehreren der gelisteten Spotify-Nutzer gesucht. Die bislang eingegangenen Antworten lassen darauf schließen, dass die Account-Daten nicht nur authentisch, sondern auch erst wenige Tage alt sind.
So far, over a half a dozen have responded, confirming that they did experience a Spotify account breach recently. They became aware of the breach in a number of ways – for example, one said he found songs added to his saved songs list that he hadn’t added. Another also found his account had been used by an unknown third-party. […] Several others said they were kicked out of Spotify – one even in the middle of streaming music.
Lange Rede, kurzer Sinn: Ändert euer Spotify-Passwort.
Ich schätze mein Abo bei Apple Music immer mehr…
Ich hole mir schonmal Popcorn. Spotify-Jünger wehret euch! :D
Sign!
Aus welchem Grund?
Hast du Angst, die Hacker könnten deinen Musikgeschmack Public machen?
Justin Bieber lässt Grüßen.
Der Watchtower von 1Password zeigt nichts an. Hätte ich von 1Password mehr erwartet.
Hmmh, ich bin da über Facebook eingeloggt, könnte das dann für mich nicht gelten, oder noch schlimmer die haben auch meinen Facebook Zugang?
Würde mich auch interessieren, weiß da jemand mehr?
Das frage ich mich auch gerade.
Wie im Artikel schon geschrieben, sind E-Mail-Adressen die zum Login benutzt werden nicht betroffen. Man loggt sich ja nicht mit seinen Facebook Daten bei Spotify ein, sondern mit seinen Facebook-Daten bei Facebook.
Es wird nur ein Autorisierungs-Token von Facebook -> Spotify ausgetauscht, nicht die Account Infos wie Username oder Passwort.
Die Facebook-Fraktion muss sich keine Sorgen machen. Deren Daten sind bereits im Netzt frei verfügbar.
Ich nehme an, dass das nicht für die Leute gilt, die sich per Facebook anmelden, gelle?
Nein, das läuft über eine Facebook API ohne dein direktes Passwort
Wie sieht es mit mit Facebook verknüpften Konten aus? Facebook Passwort ändern?
Gibt es schon irgendwo etwas wo man testen kann, ob man betroffen ist? Habe diese Passwort auch bei einigen anderen Diensten. (Ja ich weiss sollte ich nicht, dafür ist es nicht Passwort123)
Na klasse. Kennwort geändert und nun komme ich weder mit dem alten, noch mit dem neuen rein :-( Kennwort im Schlüsselbund gespeichert und es ist auch das, was ich neu eingegeben habe…
Oh, gerade gemerkt das ich mich ja mit Facebook einlogge *lol*
wie konntest du dann überhaupt das PW ändern?
Und was ist bei Anmeldung über Facebook, wie wird das da gehandelt?
LOL, sorry hab die anderen über mir noch nicht gesehen
Der Screenshot dazu ist mal wieder traumhaft. :)
Aber eine Antwort auf die Frage, ob das auch für Facebook Anmeldungen gilt, wäre trotzdem nicht schlecht!
Ich hatte das Problem mit der FB Anmeldung bei spotify. Jemand hat am Samstag versucht Zugang zu bekommen.
Die facebook Zugangsdaten werden nicht ausgelesen. Die Anmeldung erfolgt über ein verschlüsseltes Token.
Danke travis@work
Wäre ja schon hoch interessant zu wissen wie der „Hack“, wenn es denn wirklich einen gab, aussieht. Ich habe bisher noch keine ungewöhnlichen Aktivitäten feststellen können. Benutze ebenfalls einen fb Login. Deshalb wäre es echt interessant zu wissen, ob es auch darauf zutrifft und ob es überhaupt hilft, dass Passwort zu ändern, wenn Spotify angeblich nichts weiß. Denn dann besteht die Lücke ja nach wie vor… Also bitte dran bleiben und mehr Informationen. Danke!
Muss kein Hack sein. Simples abfischen der Zugangsdaten ist viel wahrscheinlicher. Gibt ja immer wieder Websites die, wie neulich dir anhand deines Spotify-Profils sagen welcher Game Of Thrones Charakter du bist. Wenn eine solche Seite den OAuth mit Spotify nur vortäuscht, dann landen die Zugangsdaten eben bei dem Betreiber der Website. Manche Anbieter solcher Dienste verzichten auch auf den OAuth und speichern die Zugangsdaten selbst. Wenn die dann abhanden kommen…
Und darüber soll auch das Account Datum und Abbuchungstermin abgefischt worden sein?
Mindestens mal Fragwürdig…
http://pastebin.com/hF4KXfp6
Falls der Link überhaupt erlaubt ist, kann man hier ja schauen ob man vll betroffen ist.
Wenn nicht, ist es natürlich dennoch keine 100%ige Sicherheit.
Ist das wirklich nur Zufall oder warum sind das alles nur GMail Adressen?
in der Liste sind ja alles gmail Adressen ??
Anscheinend
Hab sie nur auf Pastebin gefunden
Und der obere Screenshot ist auch aus dieser Liste.
Dort stehen auch Passwörter … Vll sollten die Mods den Link wieder entfernen, da ich denn Kommentar selbst nicht editieren kann.
also wenn das wirklich die komplette liste sein soll, dann sind das aber ziemlich wenig accounts… bei 8 zeilen info pro account sind das grad mal 222… *lol*
Hmmm …. Hab die Liste jetzt mal durchgeschaut und nur Gmail Accounts gesehen. Hat das ne besondere Bedeutung ?!
@iFun Danke für die schnelle Mitteilung, aber Leute bitte was soll diese Fragereei iFun ist nicht Spotify und zweitens die Zeit in der Ihr die Frage stellt ob Euer Account auh involviert ist bzw ob es die FB User auch betrifft?!? Whaaat?!? Ändert doch bitte einfach euer Passwort!!!
Das sind ja alles Gmail Addy s.
Ernst gemeinte Frage: muss man den neuen AGBs zustimmen um sein Passwort ändern zu können?
Nein, war nicht notwendig
Also ich sehe das jetzt nicht so kritisch und ein „Hack“ liegt auch nicht vor denke ich. Die Liste ist ziemlich dünn. Sehe keine Veranlassung mein Passwort zu ändern, der Techcrunch-Artikel ist auch vorsichtiger formuliert.
sorry, aber es heißt „langer Rede kurzer Sinn“, zumindest in gebildeten Kreisen.
Warum?
„Was ist der langen Rede kurzer Sinn?“ ist das Zitat aus Schillers Wallenstein.
„Lange Rede, kurzer Sinn.“ ist eine Aufzählung und damit auch in Ordnung.
Wie könnte man „langer Rede kurzer Sinn“ begründen? Durch ein vorangestelltes aber weggefallenes „nach“ (und dann eigentlich auch noch „folgt“)?
Ja, ist eine ernstgemeinte Frage ohne weiteren Hintergedanken.
Ich habe es vorsichtshalber geändert, obwohl das Passwort Save und nur einmal vergeben war. Hoffentlich knackt niemals jemand 1Password, dann bin ich echt am Arsch.
Nicht nur Du :-(
Um herauszufinden, ob man betroffen ist, einfach folgendes in Google als Suchbegriff eingeben:
site:pastebin.com spotify [USERNAME]
Wenn nix gefunden wird, ist alles gut. Hier eine Beispielsuche für einen betroffenen Account:
site:pastebin.com spotify tuomasleino
Also hat jemand die Passwörter von gut 200 Accounts abgefisht. Wüsste nicht an welcher Stelle das ein Spotify „Hack“ ist.
Hat mich schon gewundert dass die anderen Medien nicht groß aufgesprungen sind.
Und wie hilft das Abändern des Passworts gegen einen Fishing Angriff über Malware auf dem lokalen System?
Ich habe dazu mal ne Frage an die Apple Music User.
Bei Spotify gefällt mir dass ich eine Playlist einfach komplett „offline verfügbar“ machen kann.
Bei Apple Music geht das nicht oder?
Denn nehmen wir jetzt z. B. die Top Titel oder Charts, da müsste ich jedes Lied einzeln anklicken und „downloaden“. Oder gibt es da eine andere Möglichkeit (explizit bei Charts etc., nicht Alben).
Das ist einer der wichtigsten Gründe warum ich noch bei Spotify bin!
Danke schon mal.
Natürlich geht das, ganz einfach Handy Simbol tappen unter Überschrift playlist.
Wie geht das bei den Charts z. B. dass er diese gleich alle offline verfügbar macht – am iPhone?
454 Accounts, 454 Gmail Adressen. Statistisch betrachtet zumindest mal auffällig.
Korrigiere 228/228.
Da sieht die Liste hier aber schon etwas länger aus… Und das sind fast nur Adressen mit a beginnend:
http://pastebin.com/gb0FChji