Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties

Er is een lijst op Pastebin verschenen met accountgegevens van Premium-Spotify-accounts, inclusief de wachtwoorden. Of de gegevens verkregen zijn via Spotify, is niet duidelijk. Spotify zegt niet gehackt te zijn.

SpotifyHet is onduidelijk of de gegevens via Spotify verkregen zijn of dat Spotify met bekende gegevens gescraped is aangezien alle gegevens, behalve de wachtwoorden, via het Spotify-accountoverzicht direct vindbaar zijn. In totaal staan zeven Nederlandse accounts in de lijst. Belgische accounts staan er niet in.

Ook is het mogelijk dat de lijst deel uitmaakt van een lek uit het verleden bij Spotify of wellicht een andere bron. Techcrunch probeerde verschillende logins en had slechts met één account succes, waardoor de site denkt dat het ook om een oudere lijst kan gaan. Aan de andere kant is een Spotify-abonnement maandelijks en staat de automatische verlening bij de meeste gebruikers op een zeer recente datum uit het verleden of in de nabije toekomst.

Techcrunch heeft wel op kunnen maken uit enkele reacties van mensen uit de lijst dat ze recentelijk vreemde activiteit op hun Spotify-account zagen, zoals afgespeelde nummers die ze normaal nooit zouden afspelen.

spotify pastebin accounts

In geen van de gevallen had Spotify op voorhand contact gezocht met de gebruikers uit de lijst, althans niet de personen waar Techcrunch mee in contact trad. Dit in tegenstelling tot wat een woordvoerder van de streamingdienst aan de site meedeelde, namelijk dat Spotify Pastebin monitort op activiteit gerelateerd aan de dienst en dat ze direct contact opnemen met gebruikers als die gevonden worden in pastes.

Sommige gebruikers meldden ook dat er op andere online diensten was ingelogd met dezelfde accountgegevens, zoals op Facebook, Uber en Skype. Hergebruik van dezelfde wachtwoorden op verschillende sites is nooit handig.

Tweakers nam anderhalf jaar geleden het initiatief voor Verander Je Wachtwoorden-dag om mensen te bewegen sterke wachtwoorden te gebruiken en overal unieke wachtwoorden te gebruiken.

Moderatie-faq Wijzig weergave

Reacties (79)

Misschien handig om te vermelden: als je wil controleren of je gegevens in data dumps/leaks voorkomt kan je gebruik maken van deze dienst: https://haveibeenpwned.com/. Wordt gerund door Troy Hunt (bekende security researcher) en je kan je zelfs subscriben zodat je automatisch op de hoogte gebracht wordt.
De lijst is hier te vinden. Zoals in het artikel van Techcrunch al werd gezegd, is maar 1 account wat werkt.
Op facebook al geprobeerd? veel accounts hebben hun wachtwoord meer dan 1 jaar geleden veranderd, maar doormiddel van je 06 kun je deze gewoon veranderen.

1 account werkt gewoon, die van ruud.hogendoorn.


Best slecht dat dit gewoon kan.
Er werkt wel meer, de eerste willekeurige uit de US die ik probeerde werkte gewoon op een ebay account. Hoe kan toch dat mensen steeds dezelfde wachtwoorden blijven gebruiken voor verschillende website. Als hacker zou ik het wel weten en zaken zoals paypal allemaal afgaan.

Voor degene die nu schrikken:
https://www.consumentenbo.../test-wachtwoordmanagers/
http://www.mkbservicedesk...k-sterke-wachtwoorden.htm
http://computertotaal.nl/...dbeheer-met-keepass-25708
https://www.consumentenbo.../keepass-wachtwoordkluis/

"Dan heb je nog de tips voor je wachtwoorden... Er ontbreken er toch wel een paar imho:
- Gebruik niets dat (sterk) lijkt op iets uit een woordenboek
- Je geboortedatum gebruik is niet slim, noch enig ander materiaal dat via social engineering opgevraagd kan worden. (En gezien 80% hun facebook profiel op "publiek" heeft staan... Well.)
- Voeg symbolen **willekeurig** toe, vervang niet enkel letters/cijfers voor symbolen (bijvoorbeeld: ploert -> pl()3rt) maar voeg deze random toe; en dan kan je best nog wel een woord gebruiken (Pl0$$eR^&t! < en er zijn hele makkelijke ezelsbruggetjes om dat te onthouden)
- Gebruik altijd zowel hoofdletters, kleine letters, cijfers als (willekeurige) symbolen, zelfs als je een zin maakt
- ... Een zin KAN veiliger zijn, maar het mag best even gezegd worden dat deze absoluut niet *alitjd* veiliger zijn.
- RECYCLE JE WACHTWOORDEN NIET!!!"

[Reactie gewijzigd door jdh009 op 25 april 2016 21:26]

De reden waarom mensen dezelfde wachtwoorden gebruiken is heel simpel: "Het is onmogelijk om voor elke website een ander wachtwoord te gebruiken en dat allemaal te onthouden".

Je kan zoveel zeggen dat je het niet moet doen, zonder een goed alternatief gaan zeer veel mensen het toch blijven doen. Het is hetzelfde als zeggen dat je geen films illegaal mag downloaden. Zolang er geen goed alternatief is, zullen mensen het gewoon blijven doen. ;-)
Klopt.

Oplossing: Yubikey

Heb er 2. Elke 6 weken verander ik alles (wat belangrijk is)
en voor hen die niet meteen met hardware tokens willen gaan etteren (laten we wel wezen, is wel redelijk het andere uiterste) zijn diensten als lastpass oid ook een prima degelijke optie. Iets minder afschrikwekkend dan met tokens aan je sleutelbos te hoeven gaan rondlopen ;)
Todat je Lastpass wachtwoord bekend is door een hack...
Daarvoor heb je dan weer 2-factor authentication
Lastpass, je gegevens bij een amerikaans bedrijf plempen. Nee dankje. Wel makkelijk maar veilig? Nah.
En hoe ga je inloggen op een smartphone?
Lastpass app, die vult je wachtwoorden voor je in.
Dat snap ik, maar dit ging over de Yubikey.
Er wordt enorm veel onzin verkocht over hoe je een password veilig maakt. Komt waarschijnlijk door films dat men denkt dat een computer elke teken doorloopt en zodra een teken geraden het door gaat naar de volgende.
Het enige wat ze wel kunnen doen is inderdaad voor de hand liggende opties toevoegen als eerste set probeersels zoals inderdaad je persoonlijke info of woordenboek wat niks anders is als een voorspelling.
Voorspellingen hebben alleen zin als er korte wachtwoorden worden gebruikt. Zodra voorspellingen niet meer werken gaat het min of meer om de regels van het paswoord sterkte in het bepalen hoever een brute force uitgevoerd moet worden.
Een paswoord als: 1Gl(%&yJ is voor een computer niet makkelijker of moeilijker dan zeg maar Kpamdo01 met een ezelsbrug voor jezelf (Klote paswoord altijd met dat onzin 01)
En de grap hiervan is dat leestekens eerder ingevoerd worden als cijfers en letters dus in theorie met het gebruik van leestekens zal een bruut force attack het eerder raden dan zonder.

Je kan eigenlijk makkelijk echte woorden gebruiken en zelfs je geboorte datum als je het maar slim aanpakt zoals bijv:
ditvindt01ikmakkelijkDECteonthouden2000
Alleen maar echte woorden en je geboorte datum en er is geen enkel voorspelling die dit zal raden en tegen de tijd dat een bruut force het te pakken heeft is het 100 jaar verder. Terwijl 1Gl(%&yJ zeer snel gevonden wordt en totaal niks waard is.

De enige goeie tips die je kunt geven is maak het zo lang mogelijk dat je het zelf kan onthouden en gebruik geen aaneengesloten combinaties van letters of cijfers zoals je zou kunnen vinden op je CV. (taalfouten zijn eigenlijk alleen maar goed)

Het is juist dat onzin van software makers dat ze 8-16 tekens vragen en dan zelf aangeven dat er restricties zijn mbt invoer terwijl dit soort info gewoon niet moet bestaan. Die restricties zijn juist wat een hacker gebruikt om zijn aanval efficiënter en dus sneller te maken en de eindgebruiker wordt er raar op aangekeken als ze je de vinger geven mbt restricties die ze toch nooit kunnen onthouden.

"Recycle je wachtwoorden niet" is omdat we geen vertrouwen hebben in de meeste beveiliging specialisten dat ze hun werk correct kunnen uitvoeren maar in feite is het een beetje hetzelfde als een slot op elke deur in je huis bouwen met elk en ander sleutel want als de inbreker door de voordeur is ben jij als eindgebruiker zelf verantwoordelijk dat de inbreker niet in de volgende kamer kan komen en verder zoek je het zelf maar uit.

Wordt een tijd dat we bedrijven de nek omdraaien die zich te makkelijk laten hacken. Dat "shit happens" mentaliteit moet echt een keer afgelopen zijn als we naar een systeem willen gaan dat ook enigszins werkt ipv de vinger wijzen naar de eindgebruiker.
Beter een zin (lengte), dan gecompliceerd!!
Is dat waar, gaat lengte over complexiteit?
Tot zeker niveau wel. Het is vanaf een bepaalde lengte. Je hebt een handige tool om dit te checken: https://howsecureismypassword.net/
Dat is wel een erg rare site. Ik vul daar een random password van 6 karakters in en dan zegt ie dat een computer er 1 seconde over doet om het te kraken???

Dan hebben ze het al over quantum computers zeker?

Ik heb eens een brute force crack macro gemaakt in Excel. Die kwam tot circa 500.000 pogingen per seconde. Nou zal er met optimalisaties e.d. echt nog wel 1000x meer pogingen gedaan kunnen worden per seconde. Maar dan kom je nog steeds op: 7 x 1011 / 500.000.000 = 1400 sec!!

Of heb ik echt een compleet verkeerde kijk op de snelheid van computers?
- quantum computers zijn voor dit soort taken niet sneller dan conventionele computers.
- Excel is ook niet bepaald het meest performante systeem om iets dergelijks in te programmeren
- 100% brute force wordt doorgaans minder toegepast. Een algoritme zal eerder de assumptie maken dat je bijvoorbeeld enkel letters en cijfers gebruikt, wat meteen de zoekruimte enorm inkrimpt.
Ja uiteraard allemaal mee eens, maar waarom er dan een website is die een wachtwoord met ~7 x 1011 mogelijkheden bestempeld als "te kraken in 1 seconde" is natuurlijk erg misleidend voor de gewone man!
100% brute force is wel nodig bij een random gemaakt ww... toch?
Ik denk dat je wel een factor 1 miljard of meer mag rekenen voor een beetje kraak-PC.
"This is my new AWESOME password!!"

Is extreem lastig te hacken, maar makkelijk te onthouden.

Ik vond deze ook altijd erg prettig:
https://xkcd.com/936/
Die laatste regel is toch wel de belangrijkste: recyle niet. Als er dan eens een wachtwoord lekt, ben je maar bij één dienst de pieneut...
Ik heb ook niet voor iedere site een ander wachtwoord. Wel heb ik voor geldzaken een veel langer en moeilijker wachtwoord. Het is tegenwoordig ondoenlijk om 100den wachtwoorden te hebben voor iedere site. Je moet er gewoon vanuit kunnen gaan dat je gegevens veilig zijn. Het is sowieso slecht dat spotify wachtwoorden plain worden opgeslagen. Of ze hebben deze nu gekraakt

[Reactie gewijzigd door sygys op 26 april 2016 09:19]

Ik denk niet dat deze wachtwoorden plain text opgeslagen zijn bij Spotify. Ik vermoed eerder dat ze gebruteforced zijn.
Als je de wachtwoorden en email accounts vergelijkt, lijkt het wel op bruteforce ja. Bijv. pietjepuk@gmail.com met als wachtwoord: pietjepuk.
Ja, dat is wel écht dramatisch als je zoiets met bankzaken zou doen en nog gebruikt voor andere sites.
Die eerste gast is security officer bij een Russiche bank en gebruikt voor LinkedIn gewoon dezelfde credentials ... :N
noch linkedin, noch spotify zijn betaaldiensten, dus dat je daar íets lakser bent in wachtwoord-discipline kan ik me voorstellen.

Echter de hoeveelheid toch wel soort van gevoelige informatie die op een linkedin-account van iemand in een dergelijke functie vaak wel rondzwerft, yikes... Verbazingwekkend hoe zeer men zich soms niet realiseert dat het niet alleen banken en paypal etc zijn waar je toch écht voorzichtig moet zijn.
Klopt, ik heb ook een "standaard" wachtwoord die ik gebruik als ik weer eens een wachtwoord moet opgeven omdat je een account kunt aanmaken zodat wat site gegevens opgeslagen kunnen worden. Maar daar zou ik LinkedIn toch niet een van willen noemen. Dat zijn toch best wel gevoelige gegevens die je werk carriere behoorlijk kunnen verkloten, als er iemand op komt die jou gegevens verkloot...
Echter de hoeveelheid toch wel soort van gevoelige informatie die op een linkedin-account van iemand in een dergelijke functie vaak wel rondzwerft, yikes... Verbazingwekkend hoe zeer men zich soms niet realiseert dat het niet alleen banken en paypal etc zijn waar je toch écht voorzichtig moet zijn.
Niet te vergeten dat tegenwoordig in sommige vakgebieden een LinkedIn account geldt als een CV en veel zakelijke invloeden heeft. De schade die een kwaadwillende via iemands LinkedIn kan doen is heel groot. Voor Facebook geldt hetzelfde, maar dan in privekringen.
nieuwe data logger in de vorm van muziek: lol
Het kan best zo zijn dat ten tijde dat Techcrunch op de lijst stuitte en de adressen ging testen er maar 1 werkte. Maar ik heb zelf ook met een aantal van die adressen geprobeerd in te loggen op gmail en kreeg meerdere keren de melding dat het wachtwoord in de afgelopen 24/48 was gewijzigd. Dus volgens mij genoeg reden om de lijst als legitiem te beschouwen. En weer een reden om voor elke website/dienst een ANDER wachtwoord te gebruiken (deed ik zelf ook overigens jaren lang niet..).
Heeft er iemand een link naar dit lijstje? In februarie was ik namelijk ook gehackt geweest en heb toen Mijn password veranderd en het Facebook login password van spotify veranderd toen was het opgelost. Ik wil graag weten of ik weer op een lijst sta.

Snap niet hoe spotify nu weer wachtwoorden op straat kan hebben liggen, zijn die dingen niet geencrypt?

Ik gebruik een password manager keeper en heb overal een ander password voor, niks anders was getroffen in februarie dus keylogger/virus lijkt mij niet het geval.
volgens mij gaat het over deze lijst: http://pastebin.com/hF4KXfp6
Staan geen wachtwoorden bij overigens. wel dus |:(

[Reactie gewijzigd door roeldeckers op 25 april 2016 20:27]

De wachtwoorden staan naast het e-mailadres. Het is wel schrikbarend hoe eenvoudig de meeste zijn. Bovenin zelfs iemand met asdasd.

[Reactie gewijzigd door Sendy op 25 april 2016 20:01]

Nu zie ik het pas idd. was me nog niet opgevallen. ben iig blij dat ik niet erbij sta
Er zitten toch wel een aantal redelijke wachtwoorden tussen. Maar als je ze overal maar gaat gebruiken... Das niet handig.
Een ander heel toevallig iets is dat het allemaal gmail adressen, daarnaast als er maar een account daadwerkelijk geverifieerd kan worden dat daar daadwerkelijk mee ingelogd kan worden betekend niet dat de rest niet verzonnen kan worden en net te doen alsof alle accounts gehacked zijn.

Het is heel makkelijk om een lijst met 465 personen te maken en hier en daar iets veranderen om het geloofwaardig te maken.
Ik heb ook nog wat gmail accounts bekeken, hierbij vond ik dat 1 gmail 47 uur geleden een nieuw wachtwoord heeft gekregen, dus echt fake accounts zijn het niet.
Bedankt. Ik sta er dit keer gelukkig niet in. Wel een opluchting.
Dat is al best oud nieuws eigenlijk als je het mij vraagt :P. Via het Tor-netwerk kan je al jaaaaren gehackte accounts kopen (en ook gratis krijgen trouwens). Als er van een dienst, een account gehackt is, probeer je die wachtwoorden natuurlijk ook meteen bij andere diensten. Omdat er veel mensen hetzelfde wachtwoord gebruiken. Is hetzelfde met Netflix trouwens.

[Reactie gewijzigd door AnonymousWP op 25 april 2016 19:04]

Voor dergelijke informatie hoef je zelfs niet op Tor te gaan kijken, er zijn genoeg fora op te vinden op het 'gewone' internet waar je grote data dumps kan vinden met login gegevens.
Inderdaad. Daar kan je ze gewoon gratis vanaf plukken. Maar ja, die mensen (leken) niet dat je het wachtwoord niet moet gaan wijzigen en denken slim te zijn door het wachtwoord van zo'n account juist wel te moeten gaan wijzigen 8)7.

[Reactie gewijzigd door AnonymousWP op 25 april 2016 19:35]

Nee trollen doen dat expres juist. "Haha nu kunnen andere niet meer op dit account inloggen" om te trollen.
Dat weet ik. Maar dan verpesten ze het ook voor zichzelf.
Precies, bijvoorbeeld: leakforums, of nulled

Genoeg Netflix, Spotify, Steam. Vanalles zijn er wel dumps..
Maar spotify staat maar 1 stream toe wat ben je dan met dat account?
Je kunt dat account dus alleen maar gebruiken als de gebruiker zelf er niet op zit.
Ja, en anders stopt het op de PC of telefoon van de gebruiker en krijgt hij een melding dat zijn spotify ergens anders wordt gebruikt of ziet hij simpelweg een ander nummer met de naam van de PC (of telefoon) erbij staan.

Je kan natuurlijk ook offline laten opslaan en dan ook offline gaan luisteren ;).
Niet als die prive mode gebruikt IIRC
Ik vind nieuwsberichten hierover uit februari? is dit hetzelfde lek?
Het is niet een lek van het systeem zelf. Het is gewoon puur dezelfde wachtwoorden proberen van gebruikers, alleen dan bij andere diensten.
Ik bedoel, gaat dit om dezelfde dump of is er een nieuw lijstje... ik probeer te kijken of ik erop sta...
Waarschijnlijk een nieuw lijstje. Er worden namelijk maandelijks nieuwe accounts 'gehackt'.
Het je geen gmail?
Dan sta je er niet op.

Erg vreemd dat het allemaal gmail adressen zijn. Niet 1 ander adres.
Lijkt er dan toch op dat er bruteforce attacks zijn geweest ?
Dat weten we niet. We hebben even getwijfeld het wel of niet te brengen omdat het daarop lijkt. Daarom houden we ook een slag om de arm. We houden het in de gaten de komende tijd!
Leuk dat jullie de Belgen ook hebben opgezocht. Oh wacht.
Die had ik wel opgezocht, maar... die stonden er niet tussen. Maar ik zal het er even bijzetten ;)

[Reactie gewijzigd door letatcest op 25 april 2016 20:54]

Je bedoeld de opstandelingen die zich perse moesten afsplitsen van het mooie Nederland. Nou vooruit dan maar..
Maar geld dit dan ook voor gebruikers die zich aanmelden met Facebook (en dus zo'n lelijke username met cijfers hebben)? Of gaat dit echt alleen om gebruikers die op Spotify zelf de aanmelding hebben gedaan?

Want als het eerste waar is, dan is dat volgens mij toch net wat schadelijker.
Ik heb mezelf net geprobeerd te zoeken op pastebin, maar tevergeefs.

Ga er maar vanuit dat de mailboxen van gebruikers is gehacked, en daarmee het wachtwoord eruit gevist is. Of dat mensen (al-oude truuc) hetzelfde wachtwoord voor alles gebruiken. Dan is het een kwestie van proberen of je erin komt ofniet.
Ga er maar vanuit dat de mailboxen van gebruikers is gehacked, en daarmee het wachtwoord eruit gevist is.
Waarom moeten we daar vanuit gaan? Ik zie geen enkele aanwijzing die daarop wijst.
Ik heb de lijst zojuist bekeken en wat mij opvalt is dat ALLE e-mail adressen eindigen op @gmail.com. Dat in combinatie met het feit dat maar één login echt werkt doet mij enigzins vermoeden dat de lijst misschien een hoax is.
ja, of spotify e.d. waren je voor en hebben dus van alle betreffende gebruikers het wachtwoord gereset, en heb je net die dommie te pakken die zijn oude wachtwoord weer heeft ingesteld?
Het is absoluut geen hoax, want als je een willekeurig email adres pakt en daarmee probeert in te loggen zul je in een aantal gevallen de melding krijgen dat het wachtwoord in de afgelopen 48uur gewijzigd is. Er zijn zo veel mensen die de lijst al afgegaan zijn voor Techcrunch dat deed.
Zou het niet mogelijk zijn dat deze informatie vanuit Android toestellen is gehaald?
Een voorbeeld:
Name: Spotify Music
Version: 3.5.0.943 (downgraded 28/10)
Root Needed?: NO

Mod:
- Unlimited skips
- Unlock repeating
- Unlock shuffling
- Unlock seeking
- Unlock track selection
- Bypass ads
- Bypass DRM

Install Steps:
- Uninstall playstore version
- Install and enjoy
Installeer en vervolgens vreemd opkijken dat je account info verzonden worden naar een 3rd party server... :X
Waarom zou je een gemodde spotify installeren als je toch al premium hebt?
Sommige redenen zijn niet te begrijpen... maar er zijn legio aan mensen die dit soort dingen uithalen ;(
Hoewel het artikel zelf veel vraagtekens geeft in hoeverre de lijst resent is ga ik toch meteen me wachtwoord vernieuwen.
Wat uiteraard nooit verkeerd is om geregeld te doen natuurlijk. :)
Wel opvallend dat het uitsluitend @gmail adressen betreft.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True