torsdag 5 mars 2009

Spotify strulade till det

Den 19 december 2008 lagade Spotify ett hål i deras system som tillät en angripare att hämta detaljer om användare med ett känt användarnamn. Eftersom angriparen var tvungen att först ha knäckt Spotifys protokoll, så pekar en del finger på Despotify som en del av källan till detta.

Spotify påstår att lösenorden varit hashade och saltade, men med dagens processorkraft i t ex GPU:er och rainbow tables så är det bara en fråga om tid. När många dessutom använder samma lösenorde till flera tjänster så räcker det ju inte bara att byta sitt lösenord på Spotify.

Att folk använder dåliga lösenord är ju knappast en nyhet, ett exempel på detta var t ex när VFH hackade Datorföreningen och spred en lista med hashade lösenord. När dessa knäcktes så visade sig kvalitén på lösenorden vara under all kritik, och då är det ändå en datorförening!

Det hela blir extra roligt när man kollar vem som har reggat domänen despotify.se:

Detaljerad information om kontakten

Kontakt-ID svafrv0703-00001
Namn Svartholm Warg Per 'Gottfrid'
Företag -
Organistionsnummer [SE]841017-0537
E-postadress registry-nicse@prq.se
Adressrad 1 Box 1206
Adressrad 2
Adressrad 3 -
Postnummer 11479
Stat eller provins -
Ort Stockholm
Land SE
Telefon +46.850003150
Fax -
Skapad 2007-03-30
Senast ändrad 2008-05-12

Läs mer här och i Spotifys blog.

2 kommentarer:

Niklas sa...

Despotify fungerar ju bara om man betalar för premium. Det intressanta blir ju därmed att dessa pirathackers (med följe) indirekt står för ett ensidigt väldigt stort ekonomiskt bidrag till Spotify. Frågan är väl om det var så de hade tänkt sig det hela från början...

noaksson sa...

Jag tror inte att det var tanken från början. Men Despotify var ärliga, deras klient presenterar sig som Despotify vilket är schysst. Den 26/2 valde Spotify att endast tillåta Despotify för användning med ett Premium ID, så de försvarar sin affärsmodell.