Freitag, 30. Juni 2017

Gravierender Sicherheitsmangel in Spotify in Verbindung mit Facebook Connect



Eines vorweg, ich habe dieses Problem bereits vor über zwei Monaten an Spotify (Supportchat "Spotify hilft") auf Facebook gemeldet und nach einer mühseligen "immer wieder das Problem erklären" Prozedur auch nur ein "tut mir leid, ist aber so" erhalten. Da ich allerdings denke, das es hier ein Riesen Loch im Sicherheitkonzept von Spotify gibt, möchte ich daraus ungern ein Geheimnis machen. Darauf gestoßen bin ich, weil eben Mein Account noch von jemandem anderen genutzt wurde, und ich das gerne gelöst habe wollte. Aber selbst dabei konnte mir Spotify nicht helfen.

Bei Spotify gibt es zwei Möglichkeiten einen Account anzulegen. Einmal klassisch, in dem man Email und Passwort vergibt und andererseits indem man auf den Button für das Facebook Connect klickt. In dem zweiten, und sicherlich bequemeren Fall werden die Logindaten einfach an seinen Facebook Account geknüpft. Ich gehe mal davon aus, dass die meisten Nutzer von Spotify auch Facebook und somit auch diesen bequemeren Weg nutzen. Soweit so gut. 

Nun gibt es aber noch den Fall, dass man Spotify auch auf Geräten nutzen kann, die kein Facebook kennen oder kennen möchten. Dazu gibt es bei Spotify das Sogenannte "Gerätepasswort". Man bekommt also die Möglichkeit als alternative Anmeldung zu seiner Spotify ID ein Passwort zu erstellen. (Im Grunde wie bei App Passwörtern von Facebook Connect und OpenID) 

Na gut, soweit ist es immer noch nicht so problematisch, bis man auf die Idee kommt, dieses Passwort zu ändern, weil man es vielleicht vergessen hat, oder es geklaut wurde oder warum auch immer. 



Tja, der Button ist da, die Mail kommt (auch wenn sie in jedem meiner Versuche viele Minuten, bis Stunden gebraucht hat) und man bekommt den Passwort Rücksetzung Link in der Mail. Versucht man diesen Link allerdings zu öffnen, kommt man auf eine Fehlerseite von Spotify, das man aufgrund eines Fehlers das Passwort nicht ändern kann und sich bitte an den Support wenden soll. 
(Leider habe ich von dem Vorgang keine Screenshots mehr...) 

------------------------------------
UPDATE 30.06.2017: 
Als ich den Versuch nochmal mit Screenshots unterlegen wollte, hat sich etwas geändert: 
Mittlerweile lässt sich das Passwort schon an dieser Stelle nicht mehr zurücksetzen. Und ja, meine Email ist nach wie vor im Account hinterlegt. 
------------------------------------

Tja, nun hat man also einen Account bei Spotify, dessen Passwort man nicht ändern kann. Das ganze Procedere wurde mir auch exakt so vom Support bestätigt. Der Vorschlag seitens Support war: 

Zitat vom Support, Stand 11.04.2017:
"Es ist zurzeit nicht möglich, das Gerätepasswort zu ändern. Wir würden an dieser Stelle empfehlen, ein neues Konto zu erstellen. Wir können dazu deine E-Mail-Adresse freigeben, damit du sie wieder nutzen kannst. Danach werden wir deine Musik aufs neue Konto übertragen und das alte schließen. Wenn du damit einverstanden bist, bestätige bitte aus Sicherheitsgründen dein Geburtsdatum und die Rechnungsnummber von PayPal deiner letzten Zahlung. Abos lassen sich leider nicht übertragen, aber du wirst ein neues Premium Family Abo auf deinem neuen Account starten können."
Wenn man jetzt mal davon ausgeht, das 50 Prozent der Nutzer von 140 Millionen  (Stand Jun 2017, Quelle: statista.com ) ausgeht, und ich aufgrund meiner eigenen Account ID von einer rein numerischen, 10 Stelligen Zahl ausgehe und die Passwort Komplexität mit ca 8 Zeichen, Zahlen und Sonderzeichen annehme, kann man sich also schon innerhalb einer Woche einen echt großen Haufen aktiver (Premium-) Accounts hijacken. 

Achja, damit das Szenario überhaupt funktioniert, hab ich natürlich noch einen Knüller zum Schluss - bei dem Gerätepasswort gibt es keinen Bruteforce Schutz. D.h. man kann beliebig oft ein falsches Passwort eingeben. Alles andere wäre ja auch fatal, weil wenn Spotify dieses Passwort aufgrund von zuvielen Fehleingaben sperren würde, könnte man den Account ja nur noch wegwerfen... 

So, liebes Spotify Team, Ich habe euch vor über 2 Monaten darauf aufmerksam gemacht und allem Anschein nach hat sich nichts geändert. 
Somit bleibt mir nur allen Hackern ein happy Bruteforce Tag zu wünschen... 





Keine Kommentare:

Kommentar veröffentlichen