Spotify: Liste mit rund 4.000 Nutzernamen und Passwörtern im Klartext landet im Netz

Nicht als Panikmache zu verstehen ist dieser Beitrag, sondern als gut gemeinter Rat, bei den ganzen Diensten, die man heute so nutzt, doch unterschiedliche Passwörter zu benutzen. Das klingt selbstverständlich, wird aber von vielen nicht so gehandhabt. Sie nutzen aus irgendwelchen Gründen bei mehreren Diensten das identische Passwort. Bequemlichkeit zum Beispiel.

Es ist wie folgt: Es ist im Netz eine Passwort-Liste aufgetaucht. Sie enthält die Daten von rund 4.000 Spotify-Nutzern. E-Mail-Adresse, Passwort im Klartext und Status (Student / Familien-Admin). Ein Nutzer machte auf den Umstand aufmerksam, da er diese Liste angeblich „fand“ – inklusive seinen Daten. Woher die Daten stammen, ist indes nicht bekannt. Da davon auszugehen ist, dass Spotify die Passwörter nicht im Klartext speichert, gehe ich persönlich von Phishing aus, Nutzer haben womöglich ihre Daten auf irgendeiner Fake-Spotify-Seite oder in einer App eingegeben.

Die Passwort-Liste ist in der Nacht von 17. auf 18. Oktober bei Pastebin veröffentlicht worden, offenbar handelt es sich dabei nur um US-Nutzer. In den Community-Foren von Spotify ist es derzeit zum Thema sehr ruhig, nur vereinzelt liest ma von Nutzern, die auf einmal komische Vorschläge erhalten und aufgrund dieser Beobachtung ihr Passwort ändern – eine Zwei-Faktor-Authentifizierung bietet Spotify nicht an.

Angreifer könnten jetzt versuchen, die aufgetauchten Daten auch bei anderen Diensten zu nutzen – denn vielleicht nutzt ein Anwender ja die identischen Zugangsdaten auch bei Google, Facebook oder anderen Diensten. Ich persönlich gehe davon aus, dass Spotify einen Reset bei besagten Nutzern machen wird, diese also ein neues Passwort vergeben müssen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

24 Kommentare

  1. Hast du irgendeine andere Quelle, als diesen Byzantine Guillotine? Er schreibt zwar, dass es den Pastebin gibt, will ihn aber nicht verlinken. Kein anderer hat das bisher bestätigt. Würde gern nachschauen ob ich mir große oder nur kleine Sorgen machen muss 😀

  2. Wie alt sind denn die Daten? Ich habe mich vor ca. 2 Wochen das erste mal bei Spotify angemeldet.

  3. Ohne Liste kann man nicht überprüfen ob man drin steht. Man ist also ausgeliefert, bis Spotify einen anschreibt. Finde ich nicht gut, denn evtl. wird diese Mail/Passwort Kombination auch bei anderen Diensten verwendet.

    • Da sehe ich auch schon den ersten Fehler: Verwenden des gleichen Passwortes bei mehreren Diensten. Ich habe gerade schnell mein Spotify-Passwort geändert, auch wenn ich nicht betroffen sein sollte. Geht ganz easy, wenn man (was ich nur empfehlen kann) einen vernünftigen Passwort-Manager im Einsatz hat.

    • Das ist ja überhaupt erst einmal der Weg, woher die Passwörter in erster Linie kamen. Daten wurden an anderer Stelle geleaked und wurden bei Spotify ausprobiert und die Anmeldung hat funktioniert.

  4. Müssen wir wohl warten, bis haveibeenpwned.com das drin hat.

  5. Ich frage mich eher warum die Passwörter im Klartext speichern.
    Das ist doch vom letzten Jahrtausend (und selbst da sollte man es nicht tun).

  6. Ich denke bei so wenigen Einträgen immer (4.000 sind gemessen an der Gesamtzahl der Nutzer ja sehr wenig), dass vieles davon über Phishing oder Keylogger abgegriffen sein muss …

  7. die Anzahl und regionale Beschränkung deutet eher auf Phishing hin. Dennoch mir absolut unverständlich, warum bei solchen News die Quellen nicht offengelegt werden. Ich möchte mir selbst ein Bild davon machen, ob ich auf solchen Listen zu finden bin oder nicht.

    • Du bekommst die Quellen nicht, weil ich nicht will, dass du Zugriff auf meine Daten hast, falls ich auf der Liste stehe!

    • die Quelle ist doch im Artikel verlinkt – und wenn man dort weiterliest erfährt man auch das der original Paste wohl gelöscht ist

      • Aber die Liste ist nicht verlinkt. Wenn überhaupt, sollte man das so wie bei ihavebeenpwnd zugänglich machen. Mir persönlich ich das alles ziemlich Wurst, da ich ein unique Passwort und eine „Spieladdy“ verwendet habe.

  8. die Quelle der Info ist doch verlinkt, wenn man sich die durchliest erfährt man auch das der Paste wohl mittlerweile entfernt wurde

  9. Hey Caschy,

    Solche Listen gibt es öfters. In der Regel kommen sie aus Credential Stuffing Versuchen – also das Ausprobieren von geleakten Credentials auf anderen Seiten. Ich habe ein kleines Tool entwickelt, mit dem man Pastebin auf solche Listen oder seine eigenen Credentials etc. überwachen kann. Es nennt sich „pastepwn“; zu finden auf GitHub (https://github.com/d-Rickyy-b/pastepwn).

    Ich habe schon öfters valide Spotify Credentials dort gefunden. Spotify selbst unterlag jedoch keinem Leak!

    Ebenfalls ein interessantes Projekt ist Dumpmon (https://twitter.com/dumpmon)

    Falls jemand Fragen hat oder sich darüber hinaus für das Thema OSInt interessiert: https://t.me/d_Rickyy_b

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.