Spotify an Facebook: Ist das schon Phishing?

Read the english version: Spotify and Facebook: Is that phishing?.

Am Wochenende ist mir etwas merkwürdiges passiert. Ich war zu Besuch bei einer Freundin und habe ihr einen neuen Airport Express konfiguriert, da sie meist Musik über iTunes hört und das ganze an ihre Hifi-Anlage streamt. Seit einigen Monaten bin ich begeisterter Spotify-Nutzer und habe ihr daher von diesem Service erzählt.

Wenige Argumente später sollte ich ihr schließlich einen Account erstellen. Eine wichtige Info noch: Sie war auch mal bei Facebook, hat ihren Account aber vor einigen Monaten gelöscht deaktivert.

Bei Spotify lade ich die Anwendung herunter und klicke auf Registrieren. Mir wird die Möglichkeit angeboten, dass ich mich via Facebook einloggen kann. Wissend, dass sie ja keinen Account mehr besitzt, entscheide ich mich gegen Facebook und für einen Spotify-Account.

Account ist angelegt und die Anwendung installiert. Ich starte die Anwendung und sehe zunächst den Spotify-Login-Screen.

https://commondatastorage.googleapis.com/weluse-blog/spotify-login.png

Ich tippe die E-Mail-Adresse und Passwort ein - wenige Sekunden später bin ich erfolgreich angemeldet und kann Musik hören. Kurz danach wundere ich mich über zwei Dinge:

  1. Rechts oben wird ein Bild von ihr angezeigt
  2. Rechts darunter wird ihr “Oliver Welge” als Freund angezeigt

Kurz habe ich überlegt: Woher kann Spotify das wissen? Krasse Datenintelligenz!

Wenige Minuten später meldet Growl eine neue E-Mail. Sie ist von Facebook und hat den Betreff “Willkommen zurück bei Facebook!”.

Da kommen jetzt reichlich merkwürdige Dinge zusammen. Daniel und ich haben das alles heute etwas näher untersucht, da wir nicht glauben konnten, dass so etwas passieren kann.

Es folgt eine Schritt für Schritt Dokumentation:

  1. Wir deaktivieren unseren Facebook Account
https://commondatastorage.googleapis.com/weluse-blog/deactivate-facebook.png
  1. Wir registrieren uns (komplett ohne Facbeook) bei Spotify
https://commondatastorage.googleapis.com/weluse-blog/spotify-register.png
  1. Wir installieren Spotify auf dem Macbook
https://commondatastorage.googleapis.com/weluse-blog/install-spotify.png
  1. Wir starten Spotify und loggen uns ein
https://commondatastorage.googleapis.com/weluse-blog/spotify-login2.png
  1. Wir bekommen tatsächlich wieder die Welcome-Back-E-Mail von Facebook
https://commondatastorage.googleapis.com/weluse-blog/activate-facebook.png

Dabei haben wir rein gar nichts mit Facebook bei Spotify gemacht. Nebenbei bemerkt führt der Link aus der E-Mail “Help Center” direkt auf eine 404-Seite von Facebook; der Link ist also tot.

Wir haben uns im Anschluss mit unserem frisch reaktivierten Konto bei Facebook eingeloggt und auf “Apps” geklickt. Überrascht sehen wir, dass sich Spotify als App installiert hat und sogar schon die Freigabe besitzt, die Musik auf der Timeline anzuzeigen und das sogar für Freunde unserer Freunde, ohne dass wir das jemals erlaubt haben oder auch nur gefragt wurden (das Anzeigen der Musik auf der Timeline kann durch das Entfernen eines kleinen Hakens direkt nach dem Login bei Spotifiy unterbunden werden).

https://commondatastorage.googleapis.com/weluse-blog/spotify-app.png

Neugierig haben wir nochmals alle Schritte auseinander genommen und dann gesehen, was tatsächlich passierte: Auf dem Login-Screen steht, dass man entweder die Facebook-E-Mail-Adresse nutzen sollte ODER den Spotify-Benutzernamen. In unserem Beispiel haben beide Accounts das gleiche Passwort und da wir unsere E-Mail-Adresse nutzen, haben wir uns offensichtlich mit unserem deaktivierten Facebook-Account eingeloggt, welcher sich dadurch automatisch reaktiviert hat.

Meiner Meinung nach hat das an dieser Stelle nichts mit Transparenz zu tun. Allein schon aufgrund der Tatsache, dass Facebook-Aktivitäten gestartet werden, von denen ich gar nicht Bescheid weiß und zu guter letzt ein bereits gelöschter Account einfach wieder zum Leben erweckt wird und das nur, weil offenbar eine Login-Anfrage von einem externen Service gestartet wird.

Außerdem bedenklich finde ich, dass ich mich mit Facebook-Daten in der Spotify-App anmelde, sprich meine Login-Daten auf einer für Facebook fremden Plattform eingebe und diese dort offensichtlich auch verarbeitet werden.

Zusammengefasst:

  • Ich bemerke gar nicht, dass ich meine Facebook-Daten bei Spotify beim Login angebe (Ich habe nicht expliziet ausgewählt “Ja, mit Facebook einloggen”
  • Spotify nutzt meine Login-Daten um sich mit meinem Account bei Facebook zu verbinden
  • Facebook reaktiviert aufgrund der Anfrage von Spotify meinen Account
  • Spotify installiert sich als App und vergibt automatisch Freigaben, ohne dass ich gefragt werde und diesem Vorgang zustimme
  • Spotify liest meine Infos bei Facebook ein
  • und wer weiß was noch alles?

Ich weiß nicht so ganz, was ich davon halten soll, aber wohl fühle ich mich damit nicht. Das hat für mich einen Effekt in Richtung “Wir probieren mal, wo diese Zugangsdaten noch funktionieren und installieren da unsere App” - in diesem Fall Facebook.

Zugegeben, das alles funktioniert nur, wenn ich bei Facebook und Spotify das gleiche Passwort verwende. Aber wie diverse Studien zeigen, ist das eher die Regel bei den Anwendern.

Mein Vorschlag:

@Spotify: Nutze die Facebook API und nicht meine Login-Daten bzw. fragt mich nicht nach diesen Daten(!)
@Facebook: Reaktivere nicht einfach so meinen Account(!)

Feedback: blog71@weluse.de


Spotify and Facebook: Is that phishing?

Last weekend I was visiting a friend who needed my help configuring her Airport Express. She wants to use the Airport Express for streaming music via iTunes to her hi-fi system. I've used Spotify for the last couple of months and told her about it.

I told her about all the features of Spotify and she wanted an account, too.

On registering a Spotify account one can choose between using Facebook or a plain email address. We've chosen the email address method, since my friend hasn't a Facebook account anymore (she deleted deactivated it a long time ago).

After the registration and installation of the Spotify Client, I'm starting the application and I'm granted with the login screen.

https://commondatastorage.googleapis.com/weluse-blog/spotify-login.png

We're entering the email address and password and start listening to music. Two things are strange:

  1. In the upper right is a picture of her
  2. Below that I'm displayed as a friend of her

How could Spotify know such things?

A few moments later an email arrives: "Welcome back to Facebook".

Are this a lot of strange coincidences? Today I sat down together with Daniel and we had a closer look at what has happened. We couldn't believe that it was possible to reproduce this behavior:

  1. We're deactivating our Facebook account
https://commondatastorage.googleapis.com/weluse-blog/deactivate-facebook.png
  1. We're registering a new account at Spotify (without using Facebook)
https://commondatastorage.googleapis.com/weluse-blog/spotify-register-en.png
  1. We're installing the Spotify client
https://commondatastorage.googleapis.com/weluse-blog/install-spotify.png
  1. We're starting Spotify and login
https://commondatastorage.googleapis.com/weluse-blog/spotify-login2.png
  1. We're really getting a "Welcome back" email from Facebook
https://commondatastorage.googleapis.com/weluse-blog/activate-facebook.png

How was that possible? We didn't do anything connected to Facebook. By the way: the "Help Center" link inside the email is broken and leads to a 404 error page.

After that we logged into Facebook with our reactivated account and had a look at the apps section. It shows a Spotify application which can read our data and post on our behalf. We never agreed to that!

https://commondatastorage.googleapis.com/weluse-blog/spotify-app.png

We found out what has really happened: at the login screen you can enter an email address or a Spotify username. If you enter an email address the clients assumes that you want to login via Facebook. Since we only got one email address and used the same password, Spotify used our data to login into Facebook and reactivate our account.

That is to say: since the Spotify login data is coincidentally the same with my Facebook login, Spotify uses it to take over my Facebook account, reactivate it, install their application and maybe do some other things I haven't noticed yet.

I don't think this is a best practice at all. Facebook is offering a login via their API which requires one to explicitly allow an application and not using the user's email and password.

One should never enter his Facebook or any other page's login data on a third-party website.

Feedback: blog71@weluse.de