Wie ich den Hacker kennen lernte, der mein Spotify gehackt hatte

Unser Autor staunte nicht schlecht, als plötzlich Bhaskar aus Kathmandu und weitere wildfremde Personen in seinem Benutzerkonto auftauchten.

Wenn man plötzlich merkt, dass einem das eigene Spotify-Konto nicht mehr allein gehört.

Wenn man plötzlich merkt, dass einem das eigene Spotify-Konto nicht mehr allein gehört. Bild: Samuel Schalch

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Samstagabend. Unser Sohnemann ist endlich eingeschlafen. Der ideale Zeitpunkt, um das neue St.-Vincent-Album zu hören.

Handy gezückt, Spotify geöffnet und dann das!

«Du hörst über iPhone de Felipe», warnt die App in grossen Buchstaben.

Wer um Himmels willen ist Felipe*, und was macht er in meinem Spotify-Konto?

Meine Frau und ich hatten früher das Problem, dass wir uns gegenseitig aus dem gemeinsamen Spotify-Konto geworfen und in die Musik gepfuscht haben. Seit Spotify Familien-Abos (20 Franken im Monat) eingeführt hat, können mehrere Personen gleichzeitig Musik hören, und meine Frau und ich kommen uns nicht mehr in die Quere.

Aber was macht nun Felipe in meinem Spotify? Vermutlich ein Versehen, denke ich, klicke die Warnung weg und starte das St.-Vincent-Album auf meinem Handy.

Dazwischen gepfuscht

Der erste Song hat kaum angefangen, da funkt mir Felipe dazwischen, und die Musik geht aus. Auf seinem Handy dudelt nun vermutlich irgendwo in Portugal oder Brasilien ein Song von Calvin Harris, und bei mir in der Schweiz ist Sendeschluss. Ich drück wieder auf St. Vincent und muss nur Sekunden später erleben, wie Felipe wieder die Kontrolle übernimmt, um Calvin Harris zu hören.

Mir reichts. Das Spiel kann man auch zu zweit spielen. Wenn er mir mein Konto kapern kann, kann ich im Gegenzug bestimmen, welche Musik bei ihm läuft – und wie laut. Ich wähle das Müüslilied von Trudi Gerster (ja, sie kann auch singen) und drehe auf dem iPhone von Felipe die Lautstärke aufs Maximum.

Das Müüslilied und die Stimme von Trudi Gerster tun ihren erhofften Zweck. Felipe gibt auf, und ich kann wieder ungestört Spotify hören.

Schlimmer als gedacht

Doch die anfängliche Belustigung über den Zwischenfall weicht einer Verunsicherung. Wie kam der in mein Spotify? Ein Blick in die Einstellungen zeigt: Es ist alles noch viel schlimmer als gedacht.

In der Liste mit Familienmitgliedern, die unser Spotify ebenfalls nutzen können, finde ich drei weitere mir unbekannte Namen und E-Mail-Adressen. Ich mache Screenshots und werfe alle umgehend raus. Ich ändere mein Facebook-Passwort (ich melde mich jeweils über Facebook bei Spotify an). Dann melde ich mich per Mail beim Spotify-Support und geh schlafen.

Am nächsten Morgen finde ich erneut fremde Nutzer in unserer Familienliste und werfe auch sie gleich wieder raus. Ich ändere mein Facebook-Passwort erneut und empfehle den Familienmitgliedern dringend, ihre Passwörter auch zu wechseln.

Der Support meldet sich

Im Verlauf des Tages meldet sich der Spotify-Support per Mail. Nachdem ich mich mit einer alten Quittung als wahrer Besitzer des Kontos ausgewiesen habe, wird das Konto geschlossen, und meine Daten werden auf ein neues transferiert. Vier Tage und ein paar Mails später kann ich wieder ungestört Musik hören, und alles sieht aus, als wäre nie etwas passiert.

Nur meine Fragen nach dem Warum und der Herkunft der unerwünschten Spotify-Besucher kann oder will mir der Support nicht beantworten. Sie hätten keinen Zugriff auf die dafür nötigen Informationen.

Was sagt Spotify?

Als Kunde hätte ich mich wohl damit begnügen müssen. Als Journalist wende ich mich mit einem ausführlichen Fragenkatalog an die Pressestelle von Spotify. Über eine deutsche PR-Agentur lässt der Streamingdienst jedoch nur ausrichten:

«Spotify wurde nicht gehackt, und unsere Benutzerdaten sind sicher. Wenn wir Spotify-Anmeldedaten auf externen Websites finden, überprüfen wir zunächst, ob sie authentisch sind. Wenn dies der Fall ist, benachrichtigen wir betroffene Benutzer sofort, um ihre Kennwörter zu ändern. Ausserdem können sich alle Nutzer über spoof@spotify.com an unseren Kundendienst oder unsere Community wenden, um eventuelle Betrugsversuche und/oder Phishing-Versuche zu melden bzw. zu vermeiden.»

Auch auf die Nachfrage, ob es nicht konkreter geht – schliesslich zeigt mein Fall, dass Benutzerdaten eben nicht sicher sind, und gewarnt wurde ich auch nicht –, gibt es keine neue Antwort.

Plan B

Also bleibt mir nur noch etwas übrig: die unerwünschten Besucher meines Spotify-Kontos anzuschreiben. Schliesslich habe ich ja deren E-Mail-Adressen.

Ich formuliere ein freundliches Mail und warte.

Nach einem Tag meldet sich Bhaskar* aus Kathmandu. Er entschuldigt sich dafür, mein Spotify genutzt zu haben. In Nepal hätten sie eben kein Spotify und könnten den Dienst nur über gehackte Nutzerkonten verwenden. Es tue ihm sehr leid, und er hoffe, ich sei ihm nicht böse. Das bin ich natürlich nicht. Ich bin viel zu neugierig.

Im Verlauf der folgenden E-Mail-Konversation erklärt er mir, wie einfach er an Log-in-Daten komme. Es gebe dafür spezielle Websites und Facebook-Seiten. Im besten Fall könne er Spotify so bis zu fünf Tage nutzen. Dann werde er in der Regel rausgeworfen und müsse sich ein neues Log-in holen.

Die Liste

In einem seiner Mails schickt mir Bhaskar per Bildschirmfoto den Ausschnitt einer solchen Liste. Darauf stehen Spotify-Passwörter, ob es ein Premium- oder Familien-Konto ist und wann die monatliche Zahlung fällig ist. Alle Daten scheinen aktuell. Bei manchen Konten ist Ende Oktober die nächste Zahlung fällig, bei anderen im November. Einzig die für ein Log-in notwendigen E-Mail-Adressen sind angeschnitten. Ich sehe nur die jeweiligen Anbieter aber nicht die Namen der Nutzer.

Aufgeschreckt, zeige ich die Liste dem Sicherheitsexperten meines Vertrauens. Ohne Aufwand findet er die komplette Liste mit einer einfachen Google-Suche auf einem frei zugänglichen, einschlägig bekannten Portal. Die Liste, von der mir Bhaskar einen Ausschnitt per Bildschirmfoto geschickt hat, stammt vom 18. Oktober und umfasst insgesamt 26 Nutzerkonten.

Der Sicherheitsprofi probiert die ersten drei Log-ins auf der Liste aus. Die ersten zwei gehen nicht. Doch schon das dritte Log-in funktioniert. Die Liste ist also echt. Daran besteht kein Zweifel mehr.

Mein Passwort

Nun, da wir die Liste gefunden haben, machen wir uns auf die Suche nach weiteren. Schliesslich weiss ich immer noch nicht, wie Felipe, Bhaskar und die anderen mein Spotify-Konto öffnen konnten. Mit einer einfachen Suche finden wir eine weitere Liste vom 13. Oktober mit 50 Nutzerkonten drauf. Auch mein Spotify-Log-in ist darunter.

Zu meiner Überraschung steht neben der verwendeten Mailadresse ein uraltes Passwort, das ich längst nicht mehr nutze. Anscheinend habe ich das früher mal bei Spotify verwendet, ehe ich anfing, mich per Facebook einzuloggen. Das Passwort ist wohl die ganze Zeit über aktiv geblieben, obwohl ich es längst vergessen habe.

Damit haben sich Felipe, Bhaskar und Co. also einen Tag nach der Publikation der Liste in mein Spotify eingeloggt. Ich bin immerhin ein bisschen beruhigt, dass keines meiner aktuellen und relativ langen Passwörter betroffen ist. Trotzdem wüsste ich zu gern, woher all die Informationen aus der Liste stammen. Wurde Spotify doch gehackt, oder wurde ein anderer Dienst gehackt, und jemand hat die Log-in-Daten auf gut Glück bei Spotify probiert? Spotify wollte sich auch dazu nicht äussern.

Bequemlichkeit siegt – vorerst

Mein Spotify-Konto werde ich trotz allem, was passiert ist, vorerst behalten und nicht mit der ganzen Familie zu Apple Music wechseln. Nicht zuletzt aus Bequemlichkeit und weil Apple Music noch nicht mit Drittdiensten wie Last.fm oder Pacemaker harmoniert. Trotzdem wünschte ich mir, Spotify würde die Sicherheit der eigenen Nutzer ernster nehmen.

Wenn im Netz Listen mit aktuellen Kontodaten der eigenen Nutzerinnen und Nutzer derart leicht zugänglich zirkulieren, sollten beim schwedischen Streamingprimus alle Alarmglocken läuten.

Zumal mein Problem bei weitem kein Einzelfall ist. Im Netz und in Foren finden sich zahlreiche ähnliche Fälle, die zum Teil schon Jahre zurückliegen. Manche Spotify-Nutzer hatten dabei bedeutend weniger Glück als ich und wurden von den unerwünschten Besuchern aus dem eigenen Konto ausgesperrt.

Einfache Lösung

Dass Spotify dem Problem nicht Herr wird, ist umso unverständlicher, als sich all der Ärger leicht vermeiden liesse. Es kommt immer mal wieder vor, dass ein Webdienst gehackt wird. Dann werden in der Regel sicherheitshalber alle Passwörter zurückgesetzt, und man muss ein neues erstellen. Bei Spotify habe ich das nie erlebt.

Es gäbe aber noch eine andere Lösung: Fast alle grossen Techkonzerne, Webdienste und Banken nutzen heute die sogenannte Zweifaktorauthentifizierung. Damit reicht es nicht, E-Mail-Adresse und Passwort zu wissen. Man muss zusätzlich einen zum Beispiel per SMS zugestellten Code eingeben. Höchste Zeit, dass Spotify mindestens das auch einführt und Sicherheit zur Priorität erklärt.

Schliesslich hoffe ich, dass Spotify bald auch in Nepal erhältlich ist. Ich kenne dort nämlich jetzt jemanden, der sich sehr darüber freuen würde.

* Alle Namen wurden geändert, sind der Redaktion aber bekannt. (DerBund.ch/Newsnet)

Erstellt: 31.10.2017, 12:53 Uhr

Artikel zum Thema

«Streaming ist das Radio des 21. Jahrhunderts»

Interview CDs verkaufen sich schlechter denn je, und Künstler beklagen sich über Streaming-Dienste. Wie geht es mit der Musikbranche weiter? Ein Branchenbeobachter gibt Auskunft. Mehr...

Wie Apple Music abschneidet

Analyse Mit einer Funktion hat der Streamingdienst von Apple unseren Autor für sich gewonnen. Reicht das für einen Umstieg? Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Werbung

Volltreffer! Die Fussballkolumne.

Grädel schreibt über Fussball und die Welt. Wenn einer in Bern und Umgebung echten Fussballsachverstand hat, dann er.

Kommentare

Die Welt in Bildern

Die Hinterlassenschaft von Mangkhut: Mit Wind-Geschwindigkeiten von über 200 km/h fegte der Supertaifun über die chinesische Küste – und liess die Fenster eines Geschäftsgebäudes in Hongkong zerbersten. (17. September 2018)
(Bild: Lam Yik Fei/Getty Images) Mehr...