Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Säkerhetsbrist på Spotify, för alla konton skapade innan 19/12 -08

Detta är egentligen inte Linux-relaterat, men eftersom jag vet att många av er använder Spotify så vill jag informera om att de, via mejl, har gått ut med en varning om att uppgifter har läckt ut. Detta gäller konton skapade innan 19/12 -08 men kanske är det lika bra för samtliga att ändra lösenord på Spotify , och andra sidor där ni använder samma lösenord.

Nedan kan ni läsa mejlet som jag fick av Spotify (tyvärr på engelska):

Dear Spotify user,

Last week we were alerted to a group that managed to compromise
our protocols. After investigating we concluded that this group
had gained access to information that could allow testing of a
very large number of passwords, possibly finding the right one.
The information was exposed due to a bug that we discovered and
fixed on December 19th, 2008. Until last week we were unaware
that anyone had had access to our protocols to exploit it.

Along with passwords, registration information such as your email
address,birth date, gender, postal code and billing receipt
details were potentially exposed. Credit card numbers are not
stored by us and were not at risk. All payment data is handled
by a secure 3rd party provider.

If you have an account that was created on or before December 19th 2008,
we strongly suggest that you change your password and strongly
encourage you to change your passwords for any other services
where you use the same password.

When choosing your password we provide you with an indicator of
the password strength to help you choose a good one. To change
your password please visit your profile page on our website.

https://www.spotify.com/en/account/profile/

For the technically minded amongst you, the information that may
have been exposed when our protocols were compromised is the
password hashes. As stated, we never store passwords, and they
have never been sent over the Internet unencrypted, but the
combination of the bug and the group's reverse-engineering of
our encrypted streaming protocol may have given outsiders access
to individual hashes.

The hashes are salted, making attacks using rainbow tables unfeasible.
Short or otherwise bad passwords could still be vulnerable to
offline targeted brute-force or dictionary attacks on individual
users, but you could not run attacks in parallel. Also, there
has been no known breach of our internal systems. A complete user
database has not been leaked, but until December 19th, 2008 it was
possible to access the password hashes of individual users had
you reverse-engineered the Spotify protocol and knew the
username.

We are really sorry about this and hope you accept our apologies.
We're doubling our efforts to keep the systems secure in order
to prevent anything like this from happening again.

Regards,
The Spotify Team

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

polters bild

Och nu ligger Spotify.com nere. Wordpress-error. Spännande.

dps bild

Återigen sparar KeePassX massa jobb åt mig. Glad

polters bild

Jag hoppas de implementerar något liknande KWallet för Gnome nån gång snart. Bara sådär, apropå. KeePassX verkade intressant.

mindlights bild

Det som var asgrymt med KeePass när jag började med det var just portabiliteten. Det finns klienter för flera operativsystem än bara de som stödjer dot net.

Nu är det t o m så att senaste versionen som är beta eller alpha (och har mer godis än den stabila) funkar klockrent att köras under mono...

---

Alla vet att a) Microsoft vill dig väl och b) signaturer aldrig är seriöst menade på internet.

---------------------------
Q: What is the difference between Bill Gates and Batman?
A: Batman beat the penguin...

Kristians bild

gnome-keyring

---------------------------------------

Varje ny generation får en så kall och bitter ton efter en tid och det är bara de under tio som förstår hur man ska leva ett värdigt liv

---------------------------------------

 

mikehers bild

Äsc h släng ut gnome och kör KDE istället Wink ;-)

FoHs bild

Tänk vad lite Linuxanvändare det skulle finnas om de slängde ut Linux och körde Windows så fort något felade Wink ;)

Såg att även jag hade fått en epost från spotify.

Men jag uppskattar att dom informerar användarna genom registrerad epost och inte försöker gömma problemet.

 

alberts bild

Det där står ju i klartext i källkoden till despotify. Kolla i keyexchange.c. Sök på "19th of December" så kommer du till en kommentar där allting förklaras. Kommentaren stod där redan förra veckan när despotify släpptes. Den var även med i demonstrationsvideon för despotify som finns på deras webbsida. Just den kommentaren visas väldigt tydligt i videon.

polters bild

Hmm. intressant. Jag var inne och läste i koden och visst stämmer det som du sa. Men jag förstod inte riktigt. Kan de få tag i mitt VISA-nummer?

alberts bild

Nej, det tror jag inte. Bara lösenordshashen (och e-postadressen). Hashen kan i sin tur brute force:as, med algoritmen som även den är angiven. Men detta kunde endast göras före 19:e December 2008. I despotify gjordes detta med kommandot "info". Eftersom detta inte funkar längre har info-kommandot nu tagits bort i subversion-versionen.

mindlights bild

"Credit card numbers are not stored by us and were not at risk."

 

---

Alla vet att a) Microsoft vill dig väl och b) signaturer aldrig är seriöst menade på internet.

---------------------------
Q: What is the difference between Bill Gates and Batman?
A: Batman beat the penguin...

polters bild

Jag vet att det stod det i brevet, men.. jag är nojig. Smile

valdermans bild

Herregud, är det mellanstadieelever som har designat Spotify? Ett så förståndshandikappat misstag som det som beskrivs i Despotifys källkod är bara inte OK för IT-proffs på någon som helst nivå.

--

Denna kommentar består till 100% av framtisdsfientligt RMS-skitsnack från Debians sura off-topichörna.

--
あるユーモアのないアホのため、シグナチャーをカエルことにした。カエルさん

alberts bild

Ett litet tips är att även byta lösenord för e-posten som är kopplad till spotify, om du hade samma lösenord på e-posten som på spotify...

Ciphers bild

Despotify verkar ligga bakom det: http://www.idg.se/2.1085/1.215898/despotify-bakom-hacket

----------------------------------------
Archlinux.se | jlug.se | munix.se

polters bild

Äsch det var ju sensationsrubriker. Spotify har klantat sig som bara f*n, och Despotify-utvecklarna upptäckte ett säkerhetshål som redan fanns där.

valdermans bild

Frågan här är om det är IDG som kör med sensationsrubriker, eller om det är Spotify som avsiktligt försöker sprida FUD och smutskasta Despotify. Jag lutar nästan åt det senare.

--

Denna kommentar består till 100% av framtisdsfientligt RMS-skitsnack från Debians sura off-topichörna.

--
あるユーモアのないアホのため、シグナチャーをカエルことにした。カエルさん

Marcuss bild

Kan kanske vara det senare!

– Att utvecklare skriver mjukvaror
ovanpå Spotify är definitivt något vi uppmuntrar och vi kommer arbeta
hårt för att göra api:er tillgängliga för utvecklare att utöka antalet
funktioner och plattformar som Spotify finns på, fortsätter Daniel Ek.

Jaha, så länge man följer ett API som inte finns verkar det uppmuntras Smile

Din inkompetenta helpdesk- Skicka ett PM ifall något administrativt arbete efterfrågas