Hackers zijn erin geslaagd om de wachtwoord hashes van muziekdienst Spotify te achterhalen en zo de vertrouwelijke informatie van duizenden gebruikers te stelen. Het gaat om wachtwoorden, e-mailadressen, geboortedata, geslacht, postcode en rekeninggegevens die tijdens de registratie zijn opgegeven. Spotify is een muziekdienst waar gebruikers gratis naar muziek met advertenties kunnen luisteren of zo'n 10 euro voor muziek zonder advertenties betalen. De aanvallers wisten de wachtwoord hashes te compromitteren. Iets wat ze lukte door een bug in het raden van wachtwoorden en het reverse engineeren van het versleutelde streaming protocol. De hashes waren wel salted, waardoor aanvallen via rainbow tables onhaalbaar zijn, aldus de muziekdienst. Korte of andere zwakke wachtwoorden lopen wel risico om gebrute-forced te worden.

Sorry
De dienst benadrukt dat creditcardgegevens niet zijn buitgemaakt en dat ook de klantendatabase niet is gehackt. Aangezien het mogelijk was om de wachtwoorden te raden en via het Spotify protocol de gebruikersnaam te achterhalen, kon men toegang tot de klantengegevens krijgen. "Het spijt ons enorm en we hopen dat jullie onze excuses aanvaarden. We verdubbelen onze inzet om de systemen veilig te houden en te voorkomen dat zoiets nog een keer kan gebeuren."

Gebruikers lopen volgens Spotify alleen risico als ze voor 19 december 2008 een account hadden, hun wachtwoord sinds 19 december niet hebben gewijzigd, een zwak wachtwoord hadden en aanvallers het account in kwestie interessant genoeg vonden om het wachtwoord van te raden. Uit voorzorg zijn de meer dan een miljoen leden via de e-mail gevraagd om hun wachtwoord te wijzigen.