Mi hanno rubato l'account Spotify

14 Gennaio 2019 535

Quando capita agli altri pensi che a te non succederà, quando ti capita ti senti impotente, sconfitto, parte stupido e parte incredulo. Ti chiedi chi è stato, come ha fatto, come se ne vien fuori. Inizia di domenica, a pranzo con amici, lo smartphone è in tasca, non è il giorno giusto per rimanere attaccato allo schermo per controllare email - almeno un giorno in modalità semi-offline te lo vuoi concedere - ma una mail ti arriva, è di Spotify, ti avvisa che qualcuno, che non sei tu, ha cambiato l'indirizzo email associato al tuo account Premium. Sei di colpo tagliato fuori. Hai ancora qualche ora prima di accorgertene: nel pomeriggio vuoi ascoltare un po' di musica, apri l'app di Spotify e ti rendi conto che sei disconnesso dall'account. Dopo infruttuosi tentativi di arrivare alla combo nome utente-mail corretta - eppure non ricordavi di averla cambiata - arrivi alla verità frugando tra le mail: qualcuno ti ha rubato l'account. Inizi a fare i conti con il tuo nuovo, infelice, status: vittima di furto di dati personali.

SUPER SHORT VERSION: FAQ SPOTIFY

La via semplice quando si verifica qualcosa di simile a quello raccontato in apertura è

Ma bastano? sono efficaci? quanto tempo occorre concretamente prima dell'intervento di Spotify? Per rispondere può essere utile l'esperienza della sopraccitata vittima.

TUTTO INIZIA CON UNA MAIL DI SPOTIFY

  • Domenica 13 gennaio, ore 13:51, riceviamo una mail di Spotify: volevamo farti sapere che l'indirizzo e-mail associato al tuo account di Spotify è stato modificato di recente. Il tuo precedente indirizzo era xxxxxxxx.xxxxx@gmail.com Adesso è dalalxxx@gmail.com.

Account disconnesso, indirizzo e-mail associato all'account premium modificato. Si fa presto a fare uno più uno: un utente non identificato è riuscito ad accedere al nostro account, ha cambiato l'indirizzo e-mail e anche la password. In sintesi: non abbiamo più modo di accedere alla nostra musica, alle playlist, ai brani scaricati offline, e, cosa ancor più grave, non abbiamo più il controllo sugli strumenti di pagamento associati all'account - trattandosi di un account premium, utilizziamo PayPal* per corrispondere la quota della sottoscrizione mensile.

Spotify ci informa che la mail associata al nostro account è stata modificata, ma non siamo stati noi a farlo
AGIRE TEMPESTIVAMENTE (SIGH)

  • Domenica 13 gennaio, ore 17:51, mandiamo una mail a Spotify segnalando che non siamo stati noi a cambiare l'indirizzo e che non abbiamo più accesso al nostro account premium

Quello che avremmo dovuto fare tempestivamente ce lo ha subito suggerito il servizio clienti nella prima comunicazione: se non siamo stati noi ad effettuare la modifica, bisogna renderlo noto con una email all'indirizzo account-details-changed@spotify.com. Abbiamo tardato, è oggettivo ed è una nostra responsabilità, ma dalle 17:51 in poi inizia ufficialmente la procedura per riprendere il controllo della nostra musica.

  • Domenica 13 gennaio, ore 18:24 e ore 19:12: in mancanza di qualsiasi feedback da parte di Spotify - anche solo di un messaggio predefinito che conferma l'avvenuta ricezione della segnalazione - inviamo altre due email allo stesso indirizzo sollecitando l'intervento e compiliamo anche un ulteriore modulo di segnalazione. Nel frattempo, appuriamo che il nuovo indirizzo e-mail è effettivamente esistente e funzionante (gli insu... i messaggi che inviamo vengono correttamente recapitati).
  • Domenica 13 gennaio, sera: tutto tace dal servizio di assistenza clienti di Spotify, ci rassegniamo ad attendere, provando ad affondare il nostro senso di sconfitta in 75 cl. di biondissima birra. In birra veritas, per parafrasare il noto motto: riflettiamo sull'indirizzo email, è l'unica traccia che abbiamo, facciamo qualche ricerca in rete, ma non emerge nulla di significativo. Quando la bottiglia è ormai quasi vuota, l'illuminazione: e se il mio ladro non fosse stato così scaltro?
UN HACKER, NO UN LADRUNCOLO

L'idea è semplice. Il nuovo indirizzo e-mail lo conosciamo - ce lo ha indicato Spotify - ci manca solo la password: la nostra vecchia non funziona più - l'usurpatore è stato almeno sveglio a sufficienza da cambiarla, ma non così abile da metterne una difficile da indovinare.

Nuovo Indirizzo emaill: dalalXXX@gmail.com, password: vuoi vedere che è stato così ingenuo da mettere proprio dalalXXX come pass... tac. Sono gioie che nella vita ogni appassionato di tecnologia dovrebbe provare: cadere per poi rialzarsi, essere derubati per poi restituire la ''gentilezza'', seppur grazie ad una grande dose di fortuna (e di birra) ed anche se non nel modo più politically correct- ma provate a dirlo a chi ha un conto PayPal associato all'account e mentre i gestori del servizio non forniscono alcun feedback.

  • Domenica 13 gennaio ore 20:55: torniamo in possesso del nostro account. Modifichiamo l'indirizzo e-mail con il nostro (provando una certa gioia nell'immaginare che nello stesso momento il nostro dalal (chiamiamolo così) viene informato dell'accaduto dal servizio di assistenza di Spotify), cambiamo la password e aggiorniamo i dati personali del nostro profilo che, nel frattempo, il ladruncolo aveva modificato - eravamo diventati di colpo donna, nata nel 1988 e in possesso di uno smartphone Nokia - qualche anno in meno non guasta, al marchio Nokia siamo anche affezionati, ma avremmo preferito restare nei nostri panni. Infine effettuiamo la disconnessione dell'account da tutti i dispositivi.

La violazione c'è stata realmente e ci basta dare uno sguardo alla musica ascoltata di recente: The Alan Parson Project, Joan Jett, gli Abba, Hard Rock anni '80, ok tutta roba nostra (quindi, ottima scelta), ma gli ultimi brani in ordine cronologico sono di E-L-G-R-A-N-D-E -T-O-T-O??? Ammettiamo l'ignoranza, ma diciamo che non rientra nei gusti e che siamo certi di non averli mai ascoltati su Spotify.

L'usurpatore dell'account Spotify premium ha manifestato gusti un po' diversi dai nostri lasciando traccia nei brani ascoltati di recente
  • Domenica 13 ottobre ore 21:15: inviamo a Spotify una nuova segnalazione informando di essere tornati in possesso dell'account e che, quindi, il caso poteva essere considerato concluso.

Andiamo a dormire felici e soddisfatti, per valutazioni più accurate sull'accaduto attenderemo la mattina successiva (e di smaltire la sbornia).

SPOTIFY INTERVIENE QUASI 14 ORE DOPO BLOCCANDOCI L'ACCOUNT
  • Lunedì 14 dicembre ore 7:31 e 7:32: riceviamo due email da Spotify: la prima ci informa che abbiamo cancellato il nostro account Premium, ma si tratta di una comunicazione standard, la verità si trova nella seconda mail con la quale Spotify conferma di aver momentaneamente bloccato l'account:
    • Stiamo facendo ulteriori indagini. Intanto, per precauzione, abbiamo momentaneamente bloccato l'accesso di tutti gli utenti, te incluso, al tuo account. Vogliamo assicurarti che i tuoi dati di pagamento non sono mai stati visibili e che applichiamo rigorose misure di sicurezza per proteggere i tuoi dati personali.
    • Per permetterci di verificare che tu sia il titolare effettivo dell'account e di concederti nuovamente l'accesso, ti chiediamo di fornirci una delle seguenti informazioni:
      Un'istantanea della prima ricevuta del pagamento di Spotify di cui disponi. Dovresti trovarla nella tua inbox cercando "Ricevuta Spotify".
      Un'istantanea di un pagamento a Spotify sull'estratto conto PayPal (assicurati che nell'istantanea siano visibili la data e il riferimento del pagamento).
      Nota: controlla che nell'istantanea non siano indicati il numero completo, la data di scadenza o la sequenza numerica a tre cifre della tua carta di credito.
      Ti ringraziamo e ci auguriamo di avere presto tue notizie.

Questa è la prima risposta assoluta dopo la segnalazione del pomeriggio di domenica: sono state necessarie quasi14 ore a Spotify per darci un primo riscontro e per mettere in atto la misura preventiva - mentre noi avevamo già risolto tutto in autonomia, seppur ''avventurosamente". Non è proprio il massimo per chi utilizza un account Premium a pagamento, ma tant'è.

  • Lunedì 14 dicembre ore 12:09 e 12:17: Inviamo a Spotify i documenti richiesti (li abbiamo entrambi, sia la prima ricevuta, sia l'estratto conto di PayPal che testimonia l'avvenuto pagamento). Non avevamo fretta, anche perché l'account era bloccato per tutti. Alle 12:18 Spotify ci comunica via mail che - qui la risposta è rapidissima, anche troppo per certi aspetti:
    • l'account è stato messo in sicurezza e siamo lieti di concederti nuovamente l'accesso

Cosa concretamente ha fatto Spotify?

  1. Ha annullato l'abbonamento, invitandoci a riattivarlo tramite un apposito link
  2. Ha ripristinato la musica al momento precedente all'accesso non autorizzato
  3. Ha reimpostato i dispositivi offline attivi, quindi sarà necessario scaricare nuovamente la musica per l'ascolto offline
  4. Ci ha invitato a cambiare password
BILANCIO DI UNA DISAVVENTURA

Quello che noi potevamo fare meglio:

  • Segnalare tempestivamente: Rendersi subito conto che una violazione del proprio account è in atto è lo strumento migliore per contenere i danni. Sono trascorse quattro ore da quando Spotify ci ha informato della modifica della mail associata all'account a quando noi abbiamo informato il servizio di assistenza sul fatto che il cambio era avvenuto contro la nostra volontà
  • Scegliere una password più complessa. Indubbiamente si, anche se la nostra non era propriamente banale e ben lontana dal classico 1234.
  • Effettuare controlli periodici sul nostro indirizzo email per valutare se è stato coinvolto in attacchi hacker, utilizzando siti come have i been pwned

Quello che dalla prospettiva di chi, utilizzando un servizio a pagamento, sembra migliorabile:

  • I tempi di risposta: Spotify non ha fornito alcun feedback subito dopo la segnalazione, nemmeno mediante l'invio di un messaggio predefinito come semplice conferma della ricezione della medesima. La prima risposta è arrivata quasi 14 ore dopo la nostra prima mail inviata all'assistenza, al pari della misura di sicurezza che si è tradotta nel blocco dell'account. Come parziale scusante, ricordiamo che l'accaduto è avvenuto tra domenica e lunedì.
  • I canali per contattare Spotify: quelli ufficiali sono la mail sopraindicata, un modulo di contatto da compilare online, e la community raggiungibile tramite il forum ufficiale. Manca un numero verde (che potrà anche sembrare 'arcaico' ma potrebbe rappresentare un canale più immediato) o una chat online.
  • Le misure di sicurezza in sé: Spotify le definisce rigorose, e non possiamo entrare nel merito di quanto a prova di hacker sia l'infrastruttura che custodisce i nostri dati, ma possibile che l'autenticazione tramite i soli nome utente e password sia l'unica misura di sicurezza? Un metodo a due fattori non metterebbe più al sicuro gli utenti, come avviene nel caso di altri importanti servizi online? E ancora, il semplice invio di un documento che attesta il pagamento basta a stabilire che siamo proprio noi i titolari del nostro account?

Sono riflessioni lecite, tenuto conto che Spotify occupa una posizione di leadership nel settore dei servizi di streaming musicale con 200 milioni di utenti attivi ogni mese e che chi è disposto mensilmente a corrispondere il prezzo richiesto per sfruttare le funzionalità dell'account premium (circa 87 milioni compresi nella sopraccitata base installata totale) si aspetta il massimo livello di protezione e di supporto.

*Nota: si segnala per completezza che è possibile revocare i pagamenti automatici tramite PayPal seguendo le indicazioni riportate a questo indirizzo.


535

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
davidebravo

Mi è successo ieri, account sloggato mentre ascoltavo musica e una mail che mi avvisava che l'indirizzo mail associato all'account era cambiato... Uso solo l'app originale. Invece di scrivere all'indirizzo indicato nell'articolo ho aperto, tramite il sito di Spotify, una chat con il loro supporto. Gentilissimi, mi hanno subito bloccato l'account e nel giro di 5 minuti, dopo l'upload dell'ultima ricevuta di pagamento, sono rientrato in possesso di tutto. Spero possa essere utile.

Bracco

Quanto sbattimento per un account violato. Bloccate il pagamento PayPal o l'accredito mensile su Visa e fate un nuovo account perdio!

maxi8878

"Non puoi farti nessun account senza un metodo di pagamento" . Ripeto non sai come funziona,basta un email fasulla e una password a caso che puoi pure dimenticarti:)

snke

Non puoi farti nessun account senza un metodo di pagamento. E comunque mi fate una tristezza tutti voi che usate le mod... e cacciateli sti 3€! Che per le sigarette o altro ce li avete!

Scemo
Max

Guarda mio figlio ha un account Spotify studenti sul suo iPhone (lo so, è un minkione, abbiamo l'account famiglia Apple music e non ha senso....), e per curiosità ho ascoltato alcune canzoni sui due software, usando le mie Beats (quindi nulla di stratosferico ma neppure cuffie dozzinali): io non trovo differenze sostanziali.

Max

Quindi sembrerebbe essere accaduto altro .... Ma Spotify sta zitta

Melloman

Come "pensa"? Cosa ti ha fatto di male? Sadico.

The King

Compro singolarmente ogni canzone originale che mi interessa, con un costo che varia da 0,99€ a 2€ circa in qualità wave, e secondo il mio utilizzo posso al massimo riconvertire a 320 Kbps...

Spyro

Tu quanto paghi scusa??

Assolutamente no, per i servizi online non protetti da "due fattori" utilizzo sempre password uniche. Per questo dico che ci sono solo due soluzioni: attacco lato server oppure una seconda, che per ora tralascio...
Inoltre, ieri, un collega che ha letto proprio questo articolo, ha esclamato "anche a me è accaduto nel fine settimana". Da questo è nata una discussione tra noi...

Conosco bene anche Apple Music; provato e tenuto a lungo. Infatti, sono tornato nuovamente a loro... :)

gaboz

Oltre un aac 256 kb praticamente nessuno è in grado di cogliere la differenza rispetto a un CD, è cosa nota, basta effettuare i blind test senza barare. C'è ampia documentazione in merito, nonostante la rete sia piena di sedicenti audiofili con orecchie d'oro, dotati di catena audio da paura.

Maxim Castelli

Quelli sono strumenti musicali.

Carl

Riallacciando il discorso di fare la registrazione con Facebook....provate ad entrare su Spotify con queste credenziali

joekennard247@hotmail.co.uk:Davies14

E provate a cambiare mail......impossibile, e così il vostro account è più protetto, anche se potete cambiare password a Spotify, il proprietario se la riprende in un attimo perché la mail non è sostituibile.....

proxyy

il problema che oggi avere spotify o netflix o altro piratato e quasi gratis (in molti casi gratis) è diventato di una facilità disarmante, e molti per svariati motivi cadono in tentazione. Ma nn credo sia una mera problematica legata ai soldi o alla formamentis.

maset

Quanti amici che mi dicono: “non è giusto pagare per ascoltare la musica” mannaggia che nervoso che mi fanno venire!

Max

Non trovo differenze in un senso o nell’altro.

Max

Si, la batteria, la pianola, il tamburo...

Scemo

Si e secondo me si sente anche leggermente meglio

Max

Considerando che hai prodotti Apple, prova a passare ad Apple Music. Difficilmente ti pentirai... se ti rubano l’account anche li, hai un problema serio.

Max

Pensare ad app crackate è la cosa più semplice quando viene compromessa una password complessa.
Ma visto quello che si configura qui, era meglio l’ipotesi dell’app tarocca sotto android.

Max

Non semplice ... e non è mai stata usata altrove la stessa password ?

Max

Costa come Spotify e la libreria musicale è leggermente più grande.

Max
Ngamer

perchè secondo me se riescono ad entrare spesso è colpa dell utente poco attento . come detto da alcuni per entrare in spotify premium basta un programma e un database facilmente reperibile in rete e spesso pass di spotify è = alla pass della mail associata a spotify . poi d'accordo con te che sulla sicurezza si puo sempre fare di meglio anche perchè chi si ferma è perduto

apps accaunt

era slightly different quello che ho scritto

Horatio

Assolutamente, non intendevo dire che sia giusto che crackino, sto dicendo che non è il costo di 10€ a spingere queste persone a piratare, è il costo in sé, fosse anche di 1€, per loro 0€ è sempre meno.

Ho fatto l'esempio degli aperitivi proprio per sottolineare quanto da pezzenti sia rubare un servizio da 10€/mese quando poi ne spendono il triplo in un'ora, e non parlo di persone che faticano ad arrivare a fine mese.

Horatio

Eh, ma come fai, i diritti non li detiene un'azienda sola.
Anch'io quand'ero più giovane piratavo di tutto, adesso se voglio una cosa me la compro, se non mi interessa particolarmente la lascio dov'è.

Horatio

https://www. npr. org/sections/therecord/2015/06/02/411473508/how-well-can-you-hear-audio-quality

a meno che tu non abbia un impianto buono, non li distingui, o magari li distingui, ma fai fatica, ergo per la maggior parte delle persone va più che bene.

steph9009

A parte che nell'articolo è specificato che la password rubata fosse di Spotify e non parla di tentativi di accesso alla mail, e quindi si possa desumere che si tratta di password diverse (o che il ladro non ci abbia nemmeno provato, oppure abbia fallito per via della 2fa, ma non possiamo star qui ad ipotizzare ogni scenario), che c'entra il tuo commento esattamente? Dato che si parlava della sicurezza di Spotify, e non dell'utente o delle sue password:
> Spotify ha 200 mln di utenti attivi
> Non sa gestire tempestivamente (nemmeno in qualche modo automatico) eventuali violazioni
> Ho detto che deve assumere più personale per il suo reparto sicurezza
Dove si parlava di password? O dell'account mail?

Bastia Javi
modhdblog

Buonasera, è giusto ricordarlo ed è giusto aggiungere una nota alla fine dell'articolo con il link alla pagina di PayPal che descrive la procedura.

Ngamer

usare la stessa password della email per spotify non è molto smart

Xylitolo

due hacker diversi, il tuo l'ha fatto per fregarti fin quando non te ne accorgi (come rubare il wi-fi dal vicino), questo della storia, considerando pure la password potrebbe essere considerato un anti lobby, ok ti rubo l'account, se sei sveglio lo riprendi, in questo modo ti accorgerai di quanto vulnerabile sia il sistema dietro a queste lobby dedite al guadagno con 0 sforzo, di proteggere i tuoi dati poco gli interessa!

Max

Secondo te un business basato su “10€ al mese ti do tutto” sarebbe sostenibile commercialmente per qualcuno ? Ti hanno mai detto che gli artisti vanno anche pagati ?

Cave Johnson

Beh certo, non usare una password per più servizi è uno dei dieci comandamenti della sicurezza informatica.

Max

Ok la cosa ha senso. Ed in questo caso rientra nella specie “un pò te la sei cercata”...

piero

ma infatti non era per i 5euro, era per "roba apple"

Spyro

Per me invece è completamente una questione di mentalita e formazione. Il fatto che non ritenga la musica come di primaria importanza non mi da il diritto ad usare l’apk modificato. Io amo la musica (infatti pago spotify e acquisto vinili ) e mi piace anche l’arte. Ma cio non mi da il diritto di entrare nei musei e non pagare.

Carl

Se ti sei registrato TRAMITE Facebook sei in una botte di ferro

Carl

Con un flac li distingui e come.....certo che il 90% qui ascolta musica con gli auricolari, andrebbero bene anche le audiocassette....

Carl

Hai detto bene.....per principio.

steph9009

a maggior ragione se hai 200 milioni di utenti assumi più dipendenti per la sicurezza.

Bastia Javi

non me l'aspettavo questo, almeno in un blog di tecnologia e informazione.
''e, cosa ancor più grave, non abbiamo più il controllo sugli strumenti di pagamento associati all'account - trattandosi di un account premium, utilizziamo PayPal per corrispondere la quota della sottoscrizione mensile''
https://uploads.disquscdn.c...

steph9009

dipende da quanto sfruttano i dipendenti.
Amazon mi ha chiamato ancora dopo l'1 di notte.

Francesco

Esatto. Quello dei Pagamenti era l'ultimo dei problemi, avendo detto che utilizzava PayPal.

Horatio

Ah, quindi qualcuno ti cracka l'account e va bene così.
Buono a sapersi.

Si in effetti come cosa sarebbe perfetta

Horatio

Rispondo al commento vostro, secondo il mio modestissimo parere non c'entrano nulla l'età anagrafica o la formazione nel considerare 10€ al mese pochi o tanti per la musica, penso sia più un valore che noi diamo ad una determinata cosa (in questo caso la musica).
Ho amici della mia età, reddito a grandi linee come il mio, che usano l'apk crackato o usano torrent per scaricare (io piratavo il male quand'ero più giovane, sia ben chiaro, ma ad un certo punto si cresce anche, io credo), ma lo farebbero anche se Spotify costasse 2€ al mese, è una questione di principio per loro. Poi escono per l'aperitivo e spendono 30€ in un'ora tra spritz, birrette e prosecchi.
Io personalmente, da grande amante della musica, 10€ al mese li considero nulla, anche perché oltre allo streaming in sé c'è tutto un sistema di algoritmi che spesso mi consiglia brani nuovi in base ai miei ascolti, 100€ in un anno sono nulla, in UN ANNO, tre cene fatte bene costano di più, ma ripeto, non è questione di essere vecchi, certe persone non pagheranno mai a prescindere.

Video recensione

Recensione Amazon Echo Flex: piccolo, comodo ed espandibile

Tecnologia

Homix: domotica economica e facile di Enel X. Il termostato con Alexa | Video

Amazon

Offerte di Natale Amazon: dal 9 al 22 dicembre sconti su tantissimi prodotti

Amazon

Regali di Natale Last Minute nelle migliori offerte Week End: smartphone, portatili, TV