Het heeft er de schijn van dat een hacker erin is geslaagd om de inloggegevens van een groep Spotify-gebruikers te bemachtigen. Op de site Pastebin.com werden de inloggegevens van 253 accounts gepubliceerd en op de pagina is ook te zien wanneer het abonnement wordt vernieuwd, om welk type abonnement het gaat en uit welk land de gebruiker afkomstig is. Het is vooralsnog onduidelijk hoe de hacker zijn hand heeft weten te leggen op de accounts.
Volgens TechCrunch heeft de hack vermoedelijk vorig week plaatsgevonden, omdat de pagina op Pastebin is gepubliceerd op 23 april. De site heeft ook contact gelegd met verschillende gebruikers die op deze lijst zijn terug te vinden en zij bevestigen dat de accounts zijn gehackt of opvallend gedrag hebben vertoond. Daarnaast werden sommige wachtwoorden ook gebruikt op andere sites, zoals bijvoorbeeld Facebook, Uber, Skype en zelfs hun bankrekening, waardoor hackers ook toegang konden krijgen tot persoonlijke informatie.
“Ik vermoedde al dat mijn account was gehackt, omdat ik vorige week ‘recente afgespeelde’ nummers zag verschijnen waar ik nooit naar had geluisterd, ik veranderde daarop mijn wachtwoord en heb me direct afgemeld op alle apparaten”, aldus een slachtoffer. Een ander zei dat er nummers waren toegevoegd aan een afspeellijst die hij zelf niet had opgeslagen.
Spotify laat in een reactie weten dat er van een hack geen sprake is.
Spotify is niet gehackt en de gegevens van onze gebruikers zijn veilig. We monitoren Pastebin en andere sites regelmatig. Wanneer we Spotify inloggegevens vinden, dan verifieren we eerst of ze authentiek zijn, en als ze dat zijn, dan nemen we onmiddellijk contact om met deze gebruikers om hun wachtwoorden te wijzigen.
Er bestaat zeker een mogelijkheid dat deze Spotify-gebruikers hebben ingelogd op een site van een derde partij, waarbij de inloggegevens onversleuteld werden opgeslagen op een server en daardoor toegankelijk zijn voor de beheerder. Deze methode staat ook wel beter bekend als phishing en bestaat bijvoorbeeld uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Controleer dus altijd of je de juiste site bezoekt en gebruik niet voor iedere site hetzelfde wachtwoord.