Kontodaten von hunderten Spotify-Kunden kompromittiert

Die Account-Daten von Hunderten Spotify-Kunden sind im Internet aufgetaucht. Sie enthalten unter anderem Informationen wie E-Mail-Adresse, Benutzername und Passwort sowie den Kontotyp, wie TechCrunch berichtet. Daher sei es wahrscheinlich, dass die Daten direkt von Spotify und nicht aus einer anderen Quelle stammen. Der Musikstreaming-Dienst selbst erklärte jedoch, er sei nicht gehackt worden und seine Kundendaten seien sicher.

Unbekannte hatten die Datensätze am 23. April auf Pastebin veröffentlicht. Aus ihnen geht auch hervor, ob der Spotify-Nutzer ein Premium- oder Familien-Abo abgeschlossen hat, wann sich dieses automatisch verlängert und in welchem Land das Konto angelegt wurde. Laut TechCrunch sind nicht nur Nutzer aus den USA, sondern aus der ganzen Welt betroffen.

Auf eine E-Mail-Nachfrage von TechCrunch antworteten einige Betroffene, dass ihre Spotify-Konten tatsächlich vor wenigen Tagen kompromittiert wurden. Beispielsweise stellte einer fest, dass seine Wiedergabeliste Lieder enthielt, die er nicht selbst hinzugefügt habe. Ein anderer erklärte: „Ich gehe davon aus, dass mein Account vergangene Woche gehackt wurde, weil ich ‚kürzlich wiedergegebene‘ Songs entdeckt habe, die ich nie angehört habe. Daher habe ich mein Passwort geändert und mich auf allen Geräten abgemeldet.“

Einige andere Nutzer berichteten, dass sie sogar mitten im Streaming aus Spotify abgemeldet wurden. Beim Versuch, sich wieder anzumelden, stellten sie nach eigenen Angaben fest, dass die mit ihrem Konto verknüpfte E-Mail-Adresse in eine fremde geändert wurde. Um wieder Zugriff auf ihr Konto zu erhalten, mussten sie sich an den Kundensupport von Spotify wenden.

Laut TechCrunch hat der Anbieter bisher in keinem der Fälle seine Nutzer direkt hinsichtlich des Datenlecks kontaktiert oder ihre Passwörter proaktiv zurückgesetzt. Möglicherweise stammten die jetzt veröffentlichten Daten auch aus einem früheren Hack. Ein Unternehmenssprecher erklärte gegenüber CNET.com: „Spotify wurde nicht gehackt und unsere Nutzerdaten sind sicher. Wir überwachen Pastebin und ähnliche Seiten regelmäßig. Wenn wir Spotify-Anmeldedaten finden, verifizieren wir zunächst, ob sie echt sind, und falls dies der Fall ist, informieren wir betroffene Nutzer umgehend, dass sie ihre Passwörter ändern sollten.“

Merkwürdig an diesem Vorfall ist, dass die entwendeten Daten dazu genutzt wurden, auf die Spotify-Konten zuzugreifen – und so ihre rechtmäßigen Besitzer auf einen Hack aufmerksam zu machen. Normalerweise stehlen Hacker Anmeldedaten, um sie anschließend zu verkaufen. Da Anwender oft leichtsinnigerweise dieselben Passwörter für mehrere Dienste verwenden, können in der Folge auch Konten bei anderen Services kompromittiert werden.

[mit Material von Ry Crist, CNET.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.