Ten o tajemniczych artystach na Spotify

Wykradać bazy danych to żadna sztuka. Trudności przychodzą w momencie gdy chcemy zarobić na naszej nie do końca legalnej działalności.

Dzisiaj zabiorę was w podróż po nowym, bardzo pomysłowym sposobie na monetyzację przejętych kont na Spotify.

w celu ujednolicenia - haker w tym tekście oznacza osobę, która przejęła czyjeś konto w dowolny sposób (pozyskanie danych z wycieku, phishingu, bypass autoryzacji itp.)

Konto premium na Spotify. Kto by je chciał? Widzę parę rąk w górze, ale nie chodzi mi o was. Chodzi mi o hakerów. Hakerom nie zależy na tym by marnować swój cenny czas by przejąć czyjeś konto, a następnie dać je komuś w prezencie by słuchał sobie muzyki za darmo bądź za drobną opłatą. To trochę tak jak z kradzieżą - kradniesz telewizor ze sklepu nie po to, żeby obejrzeć sobie na nim mecz Arsenalu z Liverpoolem w Premier League. Kradniesz po to, by szybko go spieniężyć. Tak samo działają zaskakująco sprytni cyberprzestępcy, o których nieco wam dzisiaj opowiem.

Spotify i tajemnica nieznanych artystów

Bergenulo Five, Bratte Night, DJ Bruej i Doublin Night, a także Mientacz, Sofiacz, Smok, Gumbay, Trikoo i Artur Karbowniak (wow, nawet mój imiennik się znalazł ;). To część zagadkowych artystów, których nikt nie zna, ale pierwszego z nich przesłuchano grubo ponad 60 000 razy. Gdy zobaczymy komentarze na last.fm do tych pierwszych zauważymy, że wypełnione są samymi negatywnymi opiniami. Przeważają jednak pytania o to kim oni są.

Well

Ale to jeszcze nie wszystko. Spróbujcie ich znaleźć na Spotify. Nie znajdziecie. Wyparowali. Większość z nich zniknęła jeszcze przed akcją usuwania fałszywych artystów z platformy.

*The X Files theme plays softly in the background*

Uspokój się i mów o co chodzi

To co zrobili hakerzy przejmujący konta ludzi na Spotify jest tak niebywale genialne, że aż się ekscytuję na samą myśl tego jak genialny to był pomysł.

Każdy stream (przesłuchanie piosenki) oznacza pewne wynagrodzenie dla artystów. Jest to około $0.00397 per stream. Zapewne wiecie już o co chodzi, prawda?

Hakerzy przejmowali konta na Spotify, tworzyli sieci własnych artystów i na przejętych kontach odpalali loopa na piosenkach ich spreparowanych artystów

Wyniki? Nie są znane. Policzmy sobie zatem dla przykładu to co udało się zdobyć Bergenulo Five. Bierzemy ilość scrobblów z last.fm

Bergenulo

60 000 * 0,00397 = $238. Mało? Przypominam, że wystarczy mieć czyjeś dane logowania np. z wycieku, bądź od ludzi, którzy zajmują się crackowaniem kont na Spotify “zawodowo”. Przypominam również, że są to mocno zaniżone wyniki, bo nie każdy używa last.fm (np. ja) i jest to uwzględnienie tylko jednego fałszywego artysty więc nie znamy prawdziwej skali problemu.

DJ

Mientacz

Karbowniak

Powyżej screeny wyników na last.fm innych fałszywych artystów. Zbieżność wykresu popularności jest bardzo zaskakująca ;)

Potwierdza to to, że nie znamy prawdziwej skali tej akcji.

No ale przyznajcie, że strategia naprawdę godna klaśniecia.

Ale to jeszcze nie wszystko

Spotify zapewne nie jest jedynym serwisem streamingowym, na którym dochodzi do takiego abusowania. Za przykład wezmę tu moje konto na Deezerze, na którym wynagrodzenie wynosi $0.00624 per stream. Istnieje pewne narzędzie o nazwie DeezLoader. Służy do pobierania muzyki w najwyższej jakości z Deezera. Nie znałem pewnego źródła do DeezLoadera no i niestety wpadłem - podałem swoje dane logowania do Deezera, wyświetliło mi, że niepoprawne i tak się złożyło, że przerzuciłem się na Tidala. Niedawno znalazłem pewne źródło DeezLoadera, chciałem sobie przypomnieć hasło, by pobrać sobie albumy. Zalogowałem się na przeglądarce, a tam

Deezer

No ja tych ludzi nie znam XD

Wyobraźmy sobie, że podobne rzeczy mają miejsce na Deezerze. 60 000 * $0.00624 (stawka Deezera) = $374. Robi większe wrażenie? To może więcej? Tidal, którego używam teraz, posiada wynagrodzenie na poziomie $0.01284 per stream (!). 60 000 * $0.01284 = $770. Dużo. Bardzo dużo.

Co robić, jak żyć?

Nie sądziłem, że kiedykolwiek to powiem. Używajcie logowania za pomocą Facebooka. No może w ostateczności.
Logowanie za pomocą jakiegoś portalu społecznościowego jest dobrą linią obrony, jeżeli:

  1. Nie boimy się powiązywania naszego gustu muzycznego z naszym profilem społecznościowym - jest to narażenie prywatności.
  2. Na portalu społecznościowym używamy 2FA.
  3. Nic się nie stanie z naszym kontem jak dostaniemy bana na takiej platformie społecznościowej.

Dlaczego? Jeszcze nigdy nie widziałem żadnego serwisu streamingowego z 2FA. Z doświadczenia wiem, że konta na serwisach streamingowych są najmniej zabezpieczonymi kontami, gdyż ludziom nie chce się po prostu wymyślać nowych haseł, używać specjalnie menedżerów haseł itp. Dodatkowo ilość malware’u wykradającego dane logowania do np. Spotify i kampanii phishingowych jest tak gigantyczna, że samo cykliczne zmienianie haseł jest po prostu walką z wiatrakami i o ile jednostkowo ma szansę powodzenia tak globalnie już raczej nie.

Największym problemem jest jednak brak 2FA

Ani Deezer, ani Spotify, ani Tidal nie posiadają żadnej opcji autoryzacji wielostopniowej i jeżeli jakikolwiek serwis streamingowy właśnie wymieniony ma chęć płakać, bo skala problemu jest większa niż się spodziewano, przez co straty są spore to radzę sprawdzić zdolności myślenia logicznego. Przy okazji chcę podziękować za narażanie prywatności waszych użytkowników ;)

Czyli co, logowanie dwustopniowe jest jedyną opcją pozbycia się wszystkich problemów pierwszego świata? Tak… No nie do końca, ale o tym opowiem w przyszłości.

Źródła

Źródło Link
Pierwszy raport - BBC https://dropme.to/a43bbcspotify
Świeży rzut okiem na problem - MBW https://dropme.to/a43mbwspotify
Opublikowano February 22, 2019