Den svenska musiksuccén Spotify tvingas be alla sina användare byta inloggningsuppgifter. Det sedan en grupp hackare fått tillgång till skadlig information om tjänstens användare, som kan leda till att enskilda lösenord knäcks.

– Vi har fått information om en grupp som lyckats ta sig in i vårt protokoll. Våra efterforskningar visar att de kommit över uppgifter som snabbt låter dem testa olika lösenord och möjligen hitta de rätta, skriver Spotify på sin blogg.

Gruppen som avses är personerna bakom den öppna Spotifyklienten Despotify, som CS uppmärksammade förra veckan. Det bekräftar vd Daniel Ek i en mejlkonversation med CS.

Despotify-klienten är en öppen och inofficiell version av Spotifys egen klient som kan användas för att ansluta till musiktjänstens servrar.

Via Despotify-klienten går det att plocka ned information om användarkonton från Spotifys servrar. Det ger möjlighet att knäcka enskilda användares lösenord.

– De har helt enkelt lyckats bygga en klient som kan prata med Spotify's servrar. För att vara tydlig betyder det inte att de kunnat komma åt några av våra databaser utan enbart information vi gjort tillgänglig för klienten om enskilda användare, skriver han.

Endast information om användare som registrerat sig innan den 19 december ska ha kunnat plockas ned, enligt Spotify. Det är långt innan Despotify-klienten gjordes tillgänglig för allmänheten.

– Felet åtgärdades redan den 19 december, men då vi inte kunnat utesluta att någon kan ha haft tillgång till enskilda användares information kände vi att vi ville kommunicera det, skriver Daniel Ek.

Hur kommer ni att gå vidare i ärendet? 
– Självklart uppskattar vi inte när folk försöker hacka Spotify. Samtidigt tolkar vi Despotify som en önskan att göra Spotify mer öppet för utvecklare att bygga saker ovanpå Spotify, säger Daniel Ek.

– Att utvecklare skriver mjukvaror ovanpå Spotify är definitivt något vi uppmuntrar och vi kommer arbeta hårt för att göra api:er tillgängliga för utvecklare att utöka antalet funktioner och plattformar som Spotify finns på, fortsätter Daniel Ek.

– Detta måste dock göras samtidigt som vi respekterar de avtal vi har med rättighetsinnehavare och inte försämrar vår intjäningsförmåga till dem. För att Spotify skall bli framgångsrikt långsiktigt är det viktigaste vi kan göra att generera intäkter till artister och låtskrivare, skriver han.

(Uppdaterad) På torsdag eftermiddag bekräftar även gruppen bakom Despotify att hacket fungerar och möjliggjordes via den egenutvecklade klienten.

Gruppen säger sig ha plockat fram lösenordshashar för ett fyrtiotal Spotifykonton tillhörandes vänner, personer man delat spellistor med samt ett antal anställda på Spotify.

Despotify betonar att man inte hackat sig in i Spotifys servrar utan utnyttjat en säkerhetslucka i hur Spotify hanterar användarinformation.

Man bekräftar även att säkerhetshålet nu ska vara lagat.

Mer information finns på Despotifys blogg.