Spotify password compromessa

5

Ho appena ricevuto un'e-mail da quello che sembra essere Spotify (firmato da spotify.com), in cui suggeriscono che la mia password è trapelata.

Questo fa sorgere due domande:

  1. Come facevano a sapere che ho usato la stessa password per entrambi i servizi, se le password erano correttamente hash e salate? Ciò significa che stanno memorizzando la password in modo errato?
  2. È possibile scoprire quale servizio è stato compromesso, quindi posso smettere di usarlo / cambiare la password per altri servizi che potrebbero aver usato una password simile *?

La parte pertinente dell'e-mail è mostrata sotto

Hi Spotify User

To protect your Spotify account, we've reset your password. This is because we believe it may have been compromised during a leak on another service with which you use the same password.

Don't worry! This is purely a preventative security measure. Nobody has accessed your Spotify account, and your data is secure.

* So che la procedura standard per qualsiasi perdita di password è quella di cambiare ogni password per sempre ... ma sono solo umano (e anche pigro)

UPDATE

Per completezza, ho contattato Spotify e hanno risposto con:

Unfortunately, we can’t provide any further information about the status of your details on other services.

    
posta Joseph Young 23.08.2016 - 19:55
fonte

4 risposte

5

È abbastanza semplice.

Eseguono un lavoro batch che verifica ogni password nell'elenco trapelato e il tuo abbinato. Quella verifica viene eseguita esattamente allo stesso modo di quando accedi manualmente.

Come puoi vedere, ripristinano la tua password e ti avvisano.

    
risposta data 23.08.2016 - 20:03
fonte
1

How did they know I used the same password for both services, if the passwords were properly hashed and salted? Does this imply they are improperly storing the password?

No, non è così. Tutto quello che devono fare è ottenere la password in chiaro dalla perdita , e poi cancellarla una volta per vedere se corrisponde alla password che hanno. Quindi implica che il sito (sconosciuto) trapelato memorizza le password in modo improprio, non che Spotify lo fa.

(Non è sicuro che sappiano che le password corrispondono - potrebbero semplicemente reimpostare la password per tutti quelli che la posta elettronica mostra nella falla, per ogni evenienza. Dopo tutto, molte persone riutilizzano le password.)

Is it possible to find out which service was compromised so I can stop using it/change the password for other services which may have used a similar password*?

Prova questo piccolo e accurato servizio: link

I know the standard procedure for any password leak is to change every password for everything ever... but I'm only human (and a lazy one too)

Credimi, a lungo termine risparmierai il lavoro modificando la password su tutti siti in cui hai utilizzato quello trapelato. Mentre ci sei, inizia a utilizzare un gestore di password che ti dà password casuali e univoche - se sei pigro, lo amerai, dal momento che il software fa la maggior parte del lavoro per te.

    
risposta data 24.08.2016 - 09:25
fonte
1

Anch'io ho ricevuto una di queste email da Spotify. Il fatto è che la mia password è un personaggio trentasei generato casualmente che non ho mai usato da nessun'altra parte e che è stato modificato l'ultima volta quattro mesi fa. Uso anche un indirizzo email univoco per Spotify, che non è mai stato utilizzato per altri siti, né utilizzato per altri scopi. hasibeenpwned.com non mostra alcun compromesso su quell'indirizzo email, né sul mio nome utente Spotify (che utilizzo in un altro sito, dove uso un indirizzo email completamente diverso, e, ovviamente, una password diversa generata casualmente). Se c'è un problema, sembra probabile che si trovi su Spotify.

    
risposta data 25.08.2016 - 05:51
fonte
-1

È successo anche ai miei amici, ma era collegato all'app Android "premium" non ufficiale di Spotify che permetteva di utilizzare il servizio Spotify con funzioni premium senza realmente pagare per questo.

Quindi ti suggerisco di cambiare la tua password perché senza alcun motivo Spotify non ti infastidirebbe.

    
risposta data 24.08.2016 - 08:00
fonte

Leggi altre domande sui tag