Ho appena ricevuto un'e-mail da quello che sembra essere Spotify (firmato da spotify.com), in cui suggeriscono che la mia password è trapelata.
Questo fa sorgere due domande:
- Come facevano a sapere che ho usato la stessa password per entrambi i servizi, se le password erano correttamente hash e salate? Ciò significa che stanno memorizzando la password in modo errato?
- È possibile scoprire quale servizio è stato compromesso, quindi posso smettere di usarlo / cambiare la password per altri servizi che potrebbero aver usato una password simile *?
La parte pertinente dell'e-mail è mostrata sotto
Hi Spotify User
To protect your Spotify account, we've reset your password. This is because we believe it may have been compromised during a leak on another service with which you use the same password.
Don't worry! This is purely a preventative security measure. Nobody has accessed your Spotify account, and your data is secure.
* So che la procedura standard per qualsiasi perdita di password è quella di cambiare ogni password per sempre ... ma sono solo umano (e anche pigro)
UPDATE
Per completezza, ho contattato Spotify e hanno risposto con:
Unfortunately, we can’t provide any further information about the status of your details on other services.