20:01
27/5/2014

Ale wedle analizy firmy, atakujący uzyskali dostęp do danych …tylko jednego użytkownika (niestety łącznie z danymi płatniczymi). Z enigmatycznego ostrzeżenia, które cytujemy poniżej, wynika, że wektorem ataku była aplikacja na Androida.

Ponieważ wykryliśmy niezautoryzowany dostęp do naszych systemów oraz wewnętrznych danych firmy, chciałbym poinformować Was o krokach, jakie podjęliśmy. Bezpośrednio po zaobserwowaniu tej sytuacji rozpoczęliśmy procedury weryfikacyjne. Bezpieczeństwo informacji i ochrona danych są dla nas sprawą priorytetową, dlatego dzisiaj zamieszczam poniższą wiadomość.

Analiza sytuacji wykazała, że uzyskano dostęp do danych tylko jednego użytkownika Spotify, z wyłączeniem haseł oraz informacji dotyczących opłat rachunków. Skontaktowaliśmy się z tą osobą. Według naszej wiedzy, pozostali użytkownicy nie są narażeni na jakiekolwiek zagrożenie powstałe w wyniku powyższego incydentu.

Ponieważ kwestie bezpieczeństwa traktujemy bardzo poważnie, w ramach środków bezpieczeństwa w najbliższych dniach poprosimy część użytkowników o potwierdzenie swojej nazwy użytkownika i hasła podczas logowania do serwisu.

Dodatkowym krokiem bezpieczeństwa, jaki planujemy podjąć, będzie zalecenie użytkownikom systemu Android aktualizacji aplikacji. Jeśli aplikacja zaproponuje aktualizację, prosimy o postępowanie zgodnie z instrukcjami. Spotify nigdy nie zaleca instalacji aplikacji ze źródeł innych niż Sklep Google, Amazon Appstore lub m.spotify.com. Użytkownicy systemów iOS lub Windows Phone nie muszą obecnie podejmować jakichkolwiek działań.

Zaznaczam także, że aby mieć dostęp offline do playlist ściągniętych do pamięci urządzenia, należy pobrać je ponownie po dokonaniu aktualizacji. Przepraszamy za wszelkie niedogodności z tego wynikające. Liczymy, że przyjmiecie nasze działania ze zrozumieniem – wszelkie podjęte przez nas środki ostrożności mają na celu ochronę bezpieczeństwa naszych Użytkowników oraz zabezpieczenie jakości usług, jakich dostarczamy.

Podjęliśmy powyższe kroki, aby wzmocnić nasze systemy bezpieczeństwa oraz chronić Was i Wasze dane. W ciągu następnych dni będziemy podejmować kolejne działania w celu podniesienia bezpieczeństwa naszych użytkowników.

Chociaż e-maile z tym ostrzeżeniem jeszcze nie zostały rozesłane po użytkownikach, to jest już informacja na stronie Spotify. Ciekawe co to był za błąd, skoro nawet haseł nie każą zmieniać, tokenów nie unieważniają… ale mimo wszystko publikują oświadczenie, z którego wynika więcej pytań niż odpowiedzi.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

21 komentarzy

Dodaj komentarz
  1. To musi być poważna sprawa. Żadna firma nie zawracałaby sobie głowy tym, że jeden użytkownik został shackowany.

    • Nie znasz szwedów :D

    • firma nie zwracająca uwagi na potencjalną podatność raczej nie jest warta zaufania

    • Chodzi mi o to, że codziennie, tysiące użytkowników np. gmaila traci swoje konta w wyniku zainfekowania wirusem. Nie sądzę, żeby w przypadku tego jednego od Spotify sytuacja była inna.

    • @Łukasz Wydaje mi się, że jednak ta sytuacja się trochę różni. Biorąc pod uwagę twój przykład – konta na gmailu zostają zainfekowane i przejęte z winy użytkowników. Tutaj to była wina Spotify i nawet jeśli to jest jeden user (a w szczególności przejęcie jego danych do płatności) – powinni się martwić jak na porządną firmę przystało.

  2. A po co ponowne pobranie utworów? Szyfrują na urządzeniach i wyciekły klucze, czy atak polegał na wgraniu złośliwego kodu do telefonu z poziomu systemu dystrybucji muzyki?

    • Zmiana sposobu dostępu/uwierzytelnienia do pobrania muzyki offline?

    • A to nie zawsze po aktualizacji trzeba na nowo pobierać muzykę?

  3. Niebezpieczniku drogi :)
    Jakbyscie posiadali dokladniejsze info niz oswiadczenie Spotify to wiedzielibyscie iz wyciekla cala baza serwisu poza USA i Rosja ;)
    Zrodlo?
    HF.com :)

  4. Czegoś tu nie rozumiem. We wstępniaku jest napisane, że wyciekły dane płatnicze, a w oświadczeniu jest napisane “Spotify user’s data has been accessed and this did not include any password, financial or payment information.”

  5. w tekście jest “z wyłączeniem haseł oraz informacji dotyczących opłat rachunków”

    Wy piszecie “(niestety łącznie z danymi płatniczymi)”

    Kto ma rację? Źródło? Czy redakcja?:)

  6. Na HF.com da sie kupic Cala baze danych poza USA i Rosja za bagatele ~400zl :)

    • A nie HF.net? ;)

  7. Kiedy to było? Wczoraj założyłem tam konto…

  8. “poprosimy część użytkowników o potwierdzenie swojej nazwy użytkownika i hasła podczas logowania do serwisu.” Jak widzę maila z prośbą o potwierdzenie danych to od razu kasuję – ciekawe jak duże będą nadużycia hakerów.

  9. więcej szczegółów: https://support.spotify.com/pl/problems/#!/article/downloading-android-update

  10. Ciekawa sprawa. Z tego co widzę są 2 oficjalne apki na androida:
    a) Spotify
    b) Spotify Music
    Przy a) wskazują, że aplikacja przestanie być niedługo obsługiwana. Taki bug, że nie mogą udpate zrobić i musieli nową aplikacje wypuścić (a starą zapewne zablokować za kilka dni)?
    Ze względu na nową aplikację trzeba pobierać od nowa listy offline.

  11. Dziś przyszedł e-mail do użytkowników.

  12. rozesłanym emailu podają, że w ciągu kilku następnych dni zostanie wydana aktualizacja aplikacji i jej publikacja w Google Play. Tymczasem dzieje się zupełnie inaczej – wydają zupełnie inną aplikację o nazwie Spotify Music… dodatkowo dziwi mnie fakt tego, że stało się to tylko na jednej platformie a przecież takie dane raczej wyciekają nie przez samą aplikację ale przez otrzymane dane z api… skądś te dane przecież pochodzić muszą a czemu winna jest aplikacja kliencka akurat na androida… dziwi mnie też, że sytuacja miała miejsce po uruchomieniu podobnej usługi przez Google – Muzyka w google play z darmową, 30 dniową subskrypcją… zbieg okoliczności? :)

  13. Właśnie przed chwilą otrzymałem mejla z tą informacją. Ja jednak używam darmowej bieda wersji na komputerze, która skutecznie zastępuje słuchanie z yt ( ostatnio prawie wcale reklam nie słyszę).

    • HINT: adblock i nie masz reklam na yt

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.