Det enda som krävdes var att lägga till en delad spellista. Som svar spottade Spotify ut en uppsjö detaljer om ägarkontot. Namn, födelsedatum, e-postadress och en krypterad lösenordsfil.
I november under fjolåret upptäcktes säkerhetsluckan av utvecklargruppen bakom Despotify, en öppen och egenutvecklad klient för musiktjänsten Spotify.
Med den egna klienten kunde kontoinformationen och de krypterade lösenordsfilerna fångas upp och utläsas på ett vis som inte är möjligt med Spotifys officiella klient.
Gruppen plockade ut krypterade (hashade) lösenordsfiler för ett fyrtiotal konton innan luckan stängdes igen av Spotify den 19 december i fjol.
– Vi gjorde inget aktivt för att komma över informationen. Spotify-klienten frågade efter informationen och vi kunde med de verktyg vi utvecklat se svaret när klienten hanterade den. Konstigare än så var det inte, säger en av personerna bakom Despotify i en mejlintervju med Computer Sweden.
Gruppen använde säkerhetsluckan för att plocka ut information om och krypterade lösenordsfiler för ett fyrtiotal Spotifykonton. De flesta är vänner och bekantas, andra tillhör anställda på Spotify, säger utvecklaren.
Men att det rör sig om ett hack vill han inte hålla med om.
– Rent semantiskt så var det vi gjorde inte heller ett "hack". Servern var byggd att svara på klienters frågor om användares detaljer och när klienterna frågade om något så svarade den. Däremot förstår vi fortfarande inte varför informationen man fick tillbaka var så detaljerad eller ens varför det behövdes från början, säger han till CS.
Utvecklarna påvisade säkerhetsluckan redan i samband med att Despotify-klienten blev publik i mitten av februari. Först igår kväll gick Spotify ut med en uppmaning till sina användare att byta lösenord, och både luckan och de läckta lösenorden fick uppmärksamhet världen över.
Syftet med klienten var aldrig att skada Spotify, säger utvecklaren.
– Vårt projekt handlade om att bygga ett open source alternativ till den officiella Spotify-klienten och att tillhandahålla kunskap och verktyg i form av kod, för att andra skulle kunna bygga coola tjänster baserat på Spotifys tjänst.
– Vi har aldrig haft något incitament att direkt skada Spotify eftersom vi gillar både dem och deras tjänst, säger han.
Vad blir nästa projekt för er del?
– Despotify fortsätter utvecklas tillsammans med de duktiga kodare som tagit sig an projektet. Vad som sen händer när Spotify släpper sitt efterlängtade api är svårt att spekulera om.
