De populaire muziekdienst Spotify is trots dat het gebruikersnamen met unicode karakters ondersteunt, iets wat niet veel online diensten doen, maar het zorgde er ook voor dat kwaadwillenden accounts van anderen konden overnemen. Unicode is een internationale standaard voor de codering van binaire codes naar grafische tekens en symbolen, vergelijkbaar met de ASCII-standaard.
De standaard voorziet alle tekens en symbolen ("karakters") van alle geschreven talen van een nummer. Enige tijd geleden werd er op het Spotify-forum melding gemaakt van een lek waardoor het mogelijk was accounts van gebruikers over te nemen. Een forummanager daagde de gebruiker uit die het probleem had ontdekt en werd inderdaad gehackt.
Registratie
Het probleem werd veroorzaakt door de manier waarop Spotify met geregistreerde gebruikersnamen omging. Gebruikers konden gebruikersnamen registreren die al door andere gebruikers waren geregistreerd. Vervolgens gingen ze naar de wachtwoord-vergeten optie en kregen ze een resetlink voor het gelijknamige account van de andere gebruiker.
In het geval van Spotify was het bijvoorbeeld mogelijk om het account 'bigbird' over te nemen door een account 'BIGBIRD' te registreren. De muziekdienst had wel een functie die dit moest voorkomen, maar die bleek niet goed te functioneren als er unicode karakters werden gebruikt.
Spotify legt in een blogposting uit hoe het probleem precies ontstond en het uiteindelijk werd verholpen. De twee gebruikers die het probleem rapporteerden kregen een aantal maanden Spotify premium als cadeau.
Deze posting is gelocked. Reageren is niet meer mogelijk.