Under förra året blev flera svenska sajter utsatta för intrång och information om deras användare kom på villovägar. Sajterna hanterade detta olika, man kan göra det på rätt sätt eller på fel sätt. De flesta hamnade i den senare kategorin.
I kvällens mailskörd fann jag ett mail från Spotify som uppmanade mig att byta lösenord på mitt konto.
Hade de blivit hackade? Nej.
Däremot har det funnits en svaghet i protokollet som används när användarens Spotify-klient pratar med Spotify-servern. Protokollet innehåller bland annat funktioner för att fråga servern om användarinformation. Med utgångspunkt från användarnamnet gick det att få fram fullständigt namn, adress och andra uppgifter, tex om användaren hade ett betalkonto eller inte. Det gick inte att läsa ut fullständig kontokortsinformation men de fyra sista siffrorna i en betalande användares kortnummer fanns tillgängliga. Märkligt nog gick det också att läsa ut det ”salt” som är en del i processen när användarens lösenord krypteras. Detta skulle ha kunnat användas för att göra en brute-force attack och testa sig fram till rätt lösenord, för en användare i taget.
Den som designat protokollet måste ha haft en riktigt dålig dag, självklart ska de här delarna av användarinfo aldrig lämna servern. Nu tycks det som att Spotify själva insett det redan i december och tagit bort de olämpliga delarna.
Att med brute force läsa ut alla användare och deras lösenord hade varit extremt tidsödande och det är inte sannolikt att det har skett. När Spotifys VD, Daniel Ek, säger till IDG att ”risken för den enskilde användaren är mycket liten” så har han antagligen rätt.
Frågan är varför de valde att meddela användarna nu, mer än två månader senare? Förklaringen finns antagligen i programmet Despotify, som är en alternativ klient avsedd att kunna köras i tex Linux där ingen officiell Spotify-klient finns. Despotify är open source, all källkod finns tillgänglig och i den hittar man också kommentarer om bristen i protokollet.
Min gissning är att Spotify tittat på källkoden, upptäckt dessa kommentarer och insett att det bara var en tidsfråga innan någon öppet skulle börja diskutera brister i Spotify. Det hade varit rejält dålig PR, man ville förekomma den diskussionen och gick därför själva ut med information.
Spotify har ingen lätt uppgift när de försöker få musikindustrin på sin sida och har inte råd med någon dålig publicitet. Att själva ta initiativet och berätta om detta är ett försök att minimera skadan.
Det hade naturligtvis varit bättre om de informerat redan när de själva upptäckte och åtgärdade det potentiella problemet, men jag har viss förståelse för att de inte gjorde det. Det var helt enkelt inte troligt att någon användare drabbats.
Tyvärr formulerar pressen sig ändå på ett sätt som ger intryck att tusentals användares information är ute i det fria. Trist eftersom Spotify är ett fantastiskt bra sätt att (lagligt) hitta musik via nätet.
Läs också hos: Aftonbladet IDG IDG Expressen Affärsvärlden (som inte tycks ha förstått pressmeddelandet) och Sydsvenskan (som inte heller kan läsa innantill). Spotify skriver förstås själva på sin blogg.
(Om man är mer konspiratoriskt lagd kan agerandet förstås vara ett sätt att svärta ner Despotify genom att antyda att de som ligger bakom Despotify skulle vara ansvariga för problemet. Jag hoppas att så inte är fallet.)
Update: Despotify svarar hos IDG