Angreppet gjordes via en säkerhetslucka i Spotify som upptäcktes redan den 19 december, men som nu visat sig allvarligare än vad tjänstens tekniker först trodde.

Förra veckan upptäckte Spotify att luckan gett en grupp hackare tillgång till information som kan användas för att lista ut lösenord. Alla lösenord för användare som registrerat sig på Spotify innan den 19 december 2008 är i farozonen.

(Uppdaterad) Det är via den öppna Spotifyklienten Despotify som användarinformationen kan plockas ut. Den grupp som pekas ut av Spotify är utvecklarna bakom klienten, bekräftar Spotifys vd Daniel Ek.

Förutom lösenord och inloggningsnamn kan även e-postadresser, födelsedatum och bostadsadresser plockas fram via Despotify.

Spotify uppmanar nu alla sina användare att byta inloggningsnamn och lösenord. Användarnas kreditkortsnummer lagras inte lokalt av Spotify och ska därmed inte ha hamnat i fel händer.

Risken att enskilda användares lösenord kluras ut är liten, säger Spotifys vd Daniel Ek i ett mejl till CS.

– Spotify ser mycket allvarligt på våra användares integritet/användaruppgifter och valde därför att kommunicera så öppet och ärligt som möjligt för att bibehålla det förtroendet, skriver Daniel Ek.

– Jag hoppas med detta mail framförallt göra klart att risken för den enskilde användaren är väldigt liten, samt att det inte handlar om att en stor mängd användaruppgifter är på vift, då man måste känna till användarnamnet hos respektive spotifyanvändare, fortsätter han.

Spotify uppger vidare att lösenorden är både hashade och saltade. Förenklat kan det liknas vid envägskryptering och gör det betydligt svårare att lista ut enskilda lösenord.

Lösenord ska aldrig ha varken lagrats eller skickats över nätet i okrypterad form, uppger Spotify.

I skrivande stund är det svårt att nå Spotifys webbplats. Om det beror på överbelastning eller tekniska problem är oklart.

Mer information finns på Spotifys blogg.