EKTE: Selv om den kan minne om svindel, er e-posten fra Spotify faktisk ekte. Foto: Pål Joakim Olsen
EKTE: Selv om den kan minne om svindel, er e-posten fra Spotify faktisk ekte. Foto: Pål Joakim OlsenVis mer

Phishing

E-posten fra Spotify er ikke svindel

E-posten som ber Spotify-brukere om å bytte passord, er ikke phishing.

Mange Spotify-brukere har nå fått en e-post fra tjenesten med beskjed om å bytte passord.

Slike e-poster kan det være greit å være litt skeptisk til i utgangspunktet, siden den i stor grad kan minne om e-poster man får fra nettsvindlere som prøver seg på såkalt phishing, altså der de setter opp en falsk side for å kapre brukerinformasjonen din.

Men i dette tilfellet er faktisk e-posten ekte.

Du får den fordi du har brukt passordet et annet sted

I e-posten er ordlyden som følger:

To protect your Spotify account, we've reset your password. This is because we believe it may have been compromised during a leak on another service with which you use the same password.

Dette betyr altså at Spotify har oppdaget at passordet du har brukt på Spotify-kontoen også har vært brukt på ett av stedene som har vært offer for datalekkasje. Tidligere har vi skrevet om tjenesten Haveibeenpwned, som lar deg sjekke om brukerkontoen din har vært med i lekkede brukerdatabaser.

Betyr ikke at de lagrer passord i klartekst

Det høres kanskje ut som om Spotify er nødt til å lagre passordet ditt i klartekst for å få til dette, men det er ikke tilfellet. Siden brukernavn/passord-kombinasjoner allerede er lekket annenstedsfra, kan de prøve det lekkede passordet mot sin hashfunksjon for å sjekke om de får riktig resultat.

Dette er med andre ord samme fremgangsmåte som Netflix brukte tidligere i sommer for å informere sine brukere om den samme ståa.

Det er altså bare Spotify-brukere som har brukt det samme passordet på et sted som har opplevd datainnbrudd som får denne e-posten. Å bruke det samme passordet overalt er en av de 13 passordsyndene vi advarte mot tidligere i år.

LES OGSÅ:
Slik sikrer du Google-kontoen
Slik ser du om e-posten er svindel
Unike passord på alle nettsteder - slik bruker du LastPass