torsdag, mars 05, 2009

Spotify gör rätt

Spotify har identifierat ett potentiellt säkerhetsproblem och gått ut med en advisory. Och de lyckas göra (i princip) helt rätt. De försöker inte släta över någonting, utan berättar öppenhjärtigt om problemet, och - inte minst - de gör det på en tillräckligt detaljerad nivå för att utomstående ska kunna göra en bedömning av problemets allvarlighet.

Och det ser inte särskilt allvarligt ut. För att sammanfatta: Om någon hade tillräcklig kunskap om Spotifys kommunikationsprotokoll före 19 december, så hade denne kunnat få tag i hashade lösenord, som skulle kunna vara möjliga att brute-force-knäcka. Man verkar inte ha sett några tecken på att det verkligen hänt.

Ändå väljer man att skicka ut en advisory och riktade mail där man uppmanar användarna att byta lösenord, trots att kvällspressen oundvikligen överförenklar det hela till "OMG SPOTIFY ÄR HACKAT!!!".

Guldstjärna till Spotify, alltså.

Sedan kan man ju fråga sig varför de inte skickade ut en advisory redan 19 december. Och man kan ju bli lite bekymrad över ordvalet "compromise our protocols" i advisoryn - formuleringen signalerar att man ser själva reverse engineering:en som en säkerhetsincident. Att förlita sig på att ingen skulle lista ut hur protokollet fungerade är naturligtvis inte hållbart. Det här får den lilla "security by obscurity"-larmklockan i bakhuvudet att ringa.

Men man ska inte hänga upp sig för mycket på de detaljerna. Jag blev uppriktigt glad när jag såg advisoryn. Så skulle fler behöva agera.

3 kommentarer:

Kalle sa...

De visste inte om att deras protokoll var ute förrän förra veckan (och det var nog inte publikt ute förrän då heller utan bara känt av Despotify-gänget gissar jag). Det är bara de som skapat användare (eller bytt lösenord antar jag) före 19 december det gäller.

Anonym sa...

Spotify gör rätt? Det var ett udda sätt att göra rätt på. "Spotify kunde gjort ännu värre", kanske?

Säkerhetshålet från början är riktigt pinsamt. Vem sjutton skickar med kontokortets fyra sista för att man addar en playlist? Riktigt, riktigt pinsamt.

För att addera en förolämpning till det hela säger man inte ett ljud förrän nästan tre månader senare, tre veckor efter att informationen legat uppe publikt.

Rätt? Tja, jag skulle vara lite försiktigare med berömmet i just det här fallet. Men det är klart, det kunde gjorts ännu sämre.

Leif Nixon sa...

Anonym: Alla säkerhetsbuggar är pinsamma i efterhand. Jag tycker den här är ganska stillsam i jämförelse med väldigt många andra jag sett.

Och bortsett från att det nog tog lite för lång tid, som sagt, så har de hanterat frågan väldigt bra. Notera att de inte försöker förneka problemet och att de inte försöker skylla ifrån sig på någon annan och att de informerar klart och tydligt.

Jag skulle ju kunna börja lista exempel på riktigt klantiga leverantörer, men det skulle bli en deprimerande övning.

 
MediaCreeper Creeper