Véletlenül bukott ki, hogy valami biztonsági rés lehet a Spotify rendszerében. Bár a cég ezt tagadta, szakértők szerint a jelenség minimum gyanús. A BBC egy munkatársa vette észre, hogy lejátszólistájában számára teljesen ismeretlen előadók is felbukkantak. Ráadásul ezeket az előadókat állítólag elég sokan meg is hallgatják, azaz valószínűleg jogdíjat is kapnak a streamingszolgáltatótól.

Az ismeretlen előadókhoz köthető számok közös jellemzője, hogy zenei szempontból lényegében értékelhetetlenek, rövid leíró jellegű címük van, rövidek, alig van szövegük, a borító pedig általában olyan általános, hogy abból végképp semmire sem lehet következtetni. BBC blogja szerint ilyen rejtőzködőművész például a Bergenulo Five, az Onxyia, a Cappisko, a Hundra Ao, a Doublin Night vagy a Funkena néven futó előadó is.

A Facebook lehet a ludas…

Kiderült az is, hogy nem egyedi a jelenség, a BBC munkatársa több olyan bejegyzésre bukkant a Redditen, a Twitteren és a Last FM-en, ami ugyanezt a problémát taglalta. A felhasználók ugyanis arra kezdtek gyanakodni, hogy valaki feltörte a Spotify-fiókjukat, és spamelik őket. Csakhogy a problémát sokaknál a jelszócsere sem oldotta meg.

A Black Duck biztonsági szoftvercég vezetője szerint azonban ez nagy valószínűséggel biztonsági hiba, amelyet kihasználva illetéktelenek manipulálják egyes Spotifí-felhasználók lejátszási listáit. A szakértő szerint a probléma összefügghet a Facebook-fiókokat ért adatlopási üggyel. Akkor a Facebook azt állította, hogy megszüntette a problémát, és a fiókok nincsenek veszélyben. Ettől függetlenül azokat a felhasználókat, akik a Facebook-profiljukat használták más oldalra, szolgáltatásra, például a Spotifyra történő bejelentkezéshez, megkérték, hogy szüntessék meg, majd hozzák létre újra az összekapcsolást.

Bár a közösségi oldal nem talált arra utaló jeleket, hogy a kompromittálódott fiókokat felhasználták volna más oldalakra történő illetéktelen hozzáféréshez, a rejtélyes zenekarok feltűnése a Spotify-használók listájában feltűnő egybeesést mutat a biztonsági incidenssel.

Persze nem kell mindent a Facebookra kenni. Itt is szerepet játszhatott a felhasználóknak az a rossz szokása, hogy több weboldalon és online szolgáltatásnál használják ugyanazt az emailcím-jelszó párost, ami kincsesbánya a kiberbűnözőknek. Ha például meg tudják szerezni valaki Facebook-accountját, annak birtokában – és a profilból kiolvasható egyéb információk segítségével – könnyen találhatnak olyan helyeket, ahol az információt hasznosíthatják. (A Have I Been Pwned? adatbázist alapító Troy Hunt például rengeteg Spotify-fiókot talált, ami emiatt támadható.)

Mi ebben a buli?

A történet szimplán arról szól, hogy jogdíjat nyúljanak le a Spotifytól. Eredetileg a streamingszolgáltató kiadóktól vette meg a zenei jogokat. Tavaly ősszel azonban lazítottak a szabályokon, és lehetővé tették, hogy független művészek közvetlenül feltölthessenek zeneszámokat a szolgáltatásba. A Spotify számukra is fizet jogdíjat a meghallgatás arányában. Az egyik ilyen gyanús előadó, a Bergenulo Five például öt-hatszáz dollárt kaphatott nagyjából 60 ezer stream után.

A BBC megkereste a Spotifyt. A cég szóvivője közölte, hogy minden olyan tartalmat eltávolított, amelynél gyanús streamingtevékenységet észlelt. Ugyanakkor megerősítette a Facebooknak azt az állítását, hogy a felhasználók Spotify-fiókjai nem voltak veszélyben akkor sem, ha a bejelentkezéshez a Facebook-profiljukat használták.

Arról azonban a szóvivő nem nyilatkozott, hogy kik állhatnak a rejtélyes előadók mögött.