Spotify inte hackat trots allt

[Dagon^]

Så har det hänt. En bugg i protokollet och vips så är en massa information på vift.

Har man skapat ett konto innan den 19e december förra året ombedes man att byta lösenord.

Mer information på Spotify's blog

[andol]

Verkar dock inte alltför allvarligt, då det enligt bloggen verkar röra sig om välsaltade hashar.

[Dagon^]

Verkar dock inte alltför allvarligt, då det enligt bloggen verkar röra sig om välsaltade hashar.

Sant men man kan aldrig vara för försiktig

[dmz]

Verkar dock inte alltför allvarligt, då det enligt bloggen verkar röra sig om välsaltade hashar.

Spelar ingen större roll hur mycket salt de har slängt på när det finns rainbow tables.

[Victor]

Verkar dock inte alltför allvarligt, då det enligt bloggen verkar röra sig om välsaltade hashar.

Spelar ingen större roll hur mycket salt de har slängt på när det finns rainbow tables.

Det är just det som är grejen med ett starkt salt - det går inte att använda rainbow tables.. Står också blogginlägget..

"The hashes are salted, making attacks using rainbow tables unfeasible."

[Dagon^]

Verkar dock inte alltför allvarligt, då det enligt bloggen verkar röra sig om välsaltade hashar.

Spelar ingen större roll hur mycket salt de har slängt på när det finns rainbow tables.

Det är just det som är grejen med ett starkt salt - det går inte att använda rainbow tables.. Står också blogginlägget..

"The hashes are salted, making attacks using rainbow tables unfeasible."

Hur mycket du än saltar och pepprar ett svagt lösenord så är det hyffsat enkelt att knäcka med brute force + rainbow table.

[Frozzare]

Enligt IDG så ligger Despotify bakom hacket
http://www.idg.se/17.108/2.1085/1.21589 ... kom-hacket

[Lars]

Enligt IDG så ligger Despotify bakom hacket
http://www.idg.se/17.108/2.1085/1.21589 ... kom-hacket

Trots det verkar Spotify fortfarande vara vänligt inställda till projektet. Det är kul att se

Har man ett klient-server-system så måste man ALLTID lägga säkerheten på server-sidan eftersom klienten per definition är osäker. Så om någon klientmjukvara kan leda till läckta lösenord så är det ändå serverns fel.

[micke_nordin]

Om jag fattat saken rätt så är det så att de har haft en bugg i sitt system fram till 19 december, detta faktum plus att de är så frikostiga med att sända info från servern till klienterna göra att det varit möjligt att komma åt krypterade lösenord fram till den 19 december. Om Despotify var i ett sådant skick att det gick att användas till att hämta den informationen innan den 19 december kan det vara risk för en del lösenord, dock under förutsättning att någon av Despotifys utvecklare eller någon annan (i vad som måste vara en begränsad grupp) som haft tillgång till koden använt den till att samla in lösenord.

Det verkar vara ganska många "om" och kanske, men känner man till en potentiell risk måste man naturligtvis upplysa om den, det betyder dock inte att Spotify verkligen blivit "hackat", det betyder att det varit möjligt att de blivit hackade.

/Micke

[Rune.K]

Det bästa rådet är att aldrig ha ett och samma lösenord överallt.
Tyvärr verkar det inte alls ovanligt.

[Konservburk]

Snacka om storm i ett vattenglas...

För det första är det ingen som har fått tag i alla lösenordshashar. För det andra så är det inte ens säkert att någon har fått tag i ens en enda lösenordshash. För den som kände till spotifys protokoll innan 19 december fanns (pga en bugg) möjligheten att givet ett användarnamn få fram motsvarande lösenordshash. Eftersom de som ligger bakom despotify har luskat ut protokollet så finns risken att de även har upptäckt just den här buggen. Om de faktiskt har upptäckt buggen så finns risken att de har frågat spotifys servrar efter någon eller några lösenordshashar.

[Konservburk]

keyexchange.c

Kod: Markera allt

	/*
	 * Prepare a message to authenticate.
	 *
	 * Prior to the 19th of December 2008 Spotify happily told clients 
	 * (including ours!) almost everything it knew about a particular
	 * user, if they asked for it.
	 *
	 * Legitimate requests for this is for example when you add
	 * someone else's shared playlist.
	 *
	 * This allowed clients to see not only the last four digits of the 
	 * credit card used to subscribe to the premium service, whether
	 * the user was a paying customer or preferred commercials, but 
	 * also very interesting stuff such as the hash computed from
	 * SHA(salt || " " || password).
	 *
	 * In theory (HE HE!) this allowed any registered user to request
	 * somebody else's user data, get ahold of the hash, and then use
	 * it to authenticate as that user.
	 *
	 * Fortunately, at lest for Spotify and it's users, this is not
	 * the case anymore. (R.I.P poor misfeature)
	 *
	 * However, we urge people to change their passwords for reasons
	 * left as an exercise for the reader to figure out.
	 *
	 */

[Dagon^]

keyexchange.c

Kod: Markera allt

	/*
	 * Prepare a message to authenticate.
	 *
	 * Prior to the 19th of December 2008 Spotify happily told clients 
	 * (including ours!) almost everything it knew about a particular
	 * user, if they asked for it.
	 *
	 * Legitimate requests for this is for example when you add
	 * someone else's shared playlist.
	 *
	 * This allowed clients to see not only the last four digits of the 
	 * credit card used to subscribe to the premium service, whether
	 * the user was a paying customer or preferred commercials, but 
	 * also very interesting stuff such as the hash computed from
	 * SHA(salt || " " || password).
	 *
	 * In theory (HE HE!) this allowed any registered user to request
	 * somebody else's user data, get ahold of the hash, and then use
	 * it to authenticate as that user.
	 *
	 * Fortunately, at lest for Spotify and it's users, this is not
	 * the case anymore. (R.I.P poor misfeature)
	 *
	 * However, we urge people to change their passwords for reasons
	 * left as an exercise for the reader to figure out.
	 *
	 */

Läste den också.

[upnorth]

Det bästa rådet är att aldrig ha ett och samma lösenord överallt.
Tyvärr verkar det inte alls ovanligt.

Jag längtar till den dagen vi har hårdvarubaserade, krypterade, trådlösa inloggningssekvenser så att man kan ha ett tusen tecken långt lösenord unikt för varje inloggning utan att behöva komma ihåg ett skit. Tills dess kommer alltid det här vara ett hot.

[Mekaniserad Apelsin]

Det bästa rådet är att aldrig ha ett och samma lösenord överallt.
Tyvärr verkar det inte alls ovanligt.

Jag längtar till den dagen vi har hårdvarubaserade, krypterade, trådlösa inloggningssekvenser så att man kan ha ett tusen tecken långt lösenord unikt för varje inloggning utan att behöva komma ihåg ett skit. Tills dess kommer alltid det här vara ett hot.

OpenID?