Spotify: Liste mit rund 4.000 Nutzernamen und Passwörtern im Klartext landet im Netz
Nicht als Panikmache zu verstehen ist dieser Beitrag, sondern als gut gemeinter Rat, bei den ganzen Diensten, die man heute so nutzt, doch unterschiedliche Passwörter zu benutzen. Das klingt selbstverständlich, wird aber von vielen nicht so gehandhabt. Sie nutzen aus irgendwelchen Gründen bei mehreren Diensten das identische Passwort. Bequemlichkeit zum Beispiel.
Es ist wie folgt: Es ist im Netz eine Passwort-Liste aufgetaucht. Sie enthält die Daten von rund 4.000 Spotify-Nutzern. E-Mail-Adresse, Passwort im Klartext und Status (Student / Familien-Admin). Ein Nutzer machte auf den Umstand aufmerksam, da er diese Liste angeblich „fand“ – inklusive seinen Daten. Woher die Daten stammen, ist indes nicht bekannt. Da davon auszugehen ist, dass Spotify die Passwörter nicht im Klartext speichert, gehe ich persönlich von Phishing aus, Nutzer haben womöglich ihre Daten auf irgendeiner Fake-Spotify-Seite oder in einer App eingegeben.
Die Passwort-Liste ist in der Nacht von 17. auf 18. Oktober bei Pastebin veröffentlicht worden, offenbar handelt es sich dabei nur um US-Nutzer. In den Community-Foren von Spotify ist es derzeit zum Thema sehr ruhig, nur vereinzelt liest ma von Nutzern, die auf einmal komische Vorschläge erhalten und aufgrund dieser Beobachtung ihr Passwort ändern – eine Zwei-Faktor-Authentifizierung bietet Spotify nicht an.
Angreifer könnten jetzt versuchen, die aufgetauchten Daten auch bei anderen Diensten zu nutzen – denn vielleicht nutzt ein Anwender ja die identischen Zugangsdaten auch bei Google, Facebook oder anderen Diensten. Ich persönlich gehe davon aus, dass Spotify einen Reset bei besagten Nutzern machen wird, diese also ein neues Passwort vergeben müssen.
Hast du irgendeine andere Quelle, als diesen Byzantine Guillotine? Er schreibt zwar, dass es den Pastebin gibt, will ihn aber nicht verlinken. Kein anderer hat das bisher bestätigt. Würde gern nachschauen ob ich mir große oder nur kleine Sorgen machen muss 😀
@Sam: Ich habe die Liste und auch gegengecheckt bei 2 Accounts. Die Aussage ist wahr.
Wie alt sind denn die Daten? Ich habe mich vor ca. 2 Wochen das erste mal bei Spotify angemeldet.
Funktionieren! Log in ist möglich. NICHT nur US!
Google kann so einfach sein:
https://www.google.de/search?q=spotify+site:pastebin.com&safe=off&source=lnt&tbs=qdr:w&sa=X&ved=0ahUKEwikma746o_eAhWDZlAKHSogA-UQpwUIJA&biw=1918&bih=1068
https://pastebin.com/Ctf09KnB
Das ist nicht die von mir zitierte Liste, die ich absichtlich hier nicht einstellte.
wie kann ich dann erkennen, ob ich und meine Familie davon betroffen sind???
Ist deine Liste mittlerweile bei https://haveibeenpwned.com online? Wenn nein oder wenn du es nicht weißt, dann liefere deine Liste bitte dort ab. Ich würde nämlich gerne wissen, ob einer der von mir überwachten Accounts dort drauf steht.
+1
Bitte mach das.
Ich hoffe ja auch, dass iwann die Knuddels Daten dort mal eingepflegt werden.
Ohne Liste kann man nicht überprüfen ob man drin steht. Man ist also ausgeliefert, bis Spotify einen anschreibt. Finde ich nicht gut, denn evtl. wird diese Mail/Passwort Kombination auch bei anderen Diensten verwendet.
Da sehe ich auch schon den ersten Fehler: Verwenden des gleichen Passwortes bei mehreren Diensten. Ich habe gerade schnell mein Spotify-Passwort geändert, auch wenn ich nicht betroffen sein sollte. Geht ganz easy, wenn man (was ich nur empfehlen kann) einen vernünftigen Passwort-Manager im Einsatz hat.
Natürlich ist das ein Fehler, trotzdem wird es von vielen so betrieben.
Nicht von vielen sondern von den allermeisten, 80% oder mehr. Natürlich nicht unbedingt von Lesern eines Techblogs. Aber auch hier werden das einige machen
Das ist ja überhaupt erst einmal der Weg, woher die Passwörter in erster Linie kamen. Daten wurden an anderer Stelle geleaked und wurden bei Spotify ausprobiert und die Anmeldung hat funktioniert.
Müssen wir wohl warten, bis haveibeenpwned.com das drin hat.
oder einfach selbst aktiv werden und das Kennwort ändern.
Ich frage mich eher warum die Passwörter im Klartext speichern.
Das ist doch vom letzten Jahrtausend (und selbst da sollte man es nicht tun).
Nein, das tun sie sicher nicht. Die Passwörter kommen sicher woanders her.
Ich denke bei so wenigen Einträgen immer (4.000 sind gemessen an der Gesamtzahl der Nutzer ja sehr wenig), dass vieles davon über Phishing oder Keylogger abgegriffen sein muss …
die Anzahl und regionale Beschränkung deutet eher auf Phishing hin. Dennoch mir absolut unverständlich, warum bei solchen News die Quellen nicht offengelegt werden. Ich möchte mir selbst ein Bild davon machen, ob ich auf solchen Listen zu finden bin oder nicht.
Du bekommst die Quellen nicht, weil ich nicht will, dass du Zugriff auf meine Daten hast, falls ich auf der Liste stehe!
die Quelle ist doch im Artikel verlinkt – und wenn man dort weiterliest erfährt man auch das der original Paste wohl gelöscht ist
Aber die Liste ist nicht verlinkt. Wenn überhaupt, sollte man das so wie bei ihavebeenpwnd zugänglich machen. Mir persönlich ich das alles ziemlich Wurst, da ich ein unique Passwort und eine „Spieladdy“ verwendet habe.
die Quelle der Info ist doch verlinkt, wenn man sich die durchliest erfährt man auch das der Paste wohl mittlerweile entfernt wurde
Hey Caschy,
Solche Listen gibt es öfters. In der Regel kommen sie aus Credential Stuffing Versuchen – also das Ausprobieren von geleakten Credentials auf anderen Seiten. Ich habe ein kleines Tool entwickelt, mit dem man Pastebin auf solche Listen oder seine eigenen Credentials etc. überwachen kann. Es nennt sich „pastepwn“; zu finden auf GitHub (https://github.com/d-Rickyy-b/pastepwn).
Ich habe schon öfters valide Spotify Credentials dort gefunden. Spotify selbst unterlag jedoch keinem Leak!
Ebenfalls ein interessantes Projekt ist Dumpmon (https://twitter.com/dumpmon)
Falls jemand Fragen hat oder sich darüber hinaus für das Thema OSInt interessiert: https://t.me/d_Rickyy_b