Hacktivist grup Anna’s Archive, Spotify’ın kataloğunun neredeyse tamamını sildiğini ve şimdi bunu BitTorrent aracılığıyla yayınlayarak bir akış platformunu etkili bir şekilde yaklaşık 300 TB’lık bir korsan “koruma arşivine” dönüştürdüğünü iddia ediyor.
Grup, blogunda şunları belirtiyor:
“Bir süre önce Spotify’ı geniş ölçekte büyütmenin bir yolunu keşfettik. Burada öncelikle korumayı amaçlayan bir müzik arşivi oluşturma konusunda bizim için bir rol gördük.”
Spotify, hacktivistlerin hiçbir kullanıcı verisi elde etmediği konusunda ısrar ediyor. Yine de olay, büyük ölçekli kazımanın, dijital haklar yönetiminin (DRM) atlatılmasının ve zayıf kötüye kullanım kontrollerinin büyük içerik platformlarını nasıl yüksek değerli hedeflere dönüştürebileceğinin altını çiziyor.
Anna’s Archive, yaklaşık 256 milyon parça için meta veri ve kabaca 86 milyon şarkı için ses dosyası elde ettiğini, bunun toplamda 300 TB’a yakın olduğunu iddia ediyor. Bildirildiğine göre bu, Spotify kataloğunun yaklaşık %99,9’unu ve tüm akışların kabaca %99,6’sını temsil ediyor.
Spotify, “yasadışı kazıma yapan hain kullanıcı hesaplarını tespit edip devre dışı bıraktığını” ve yeni güvenlik önlemleri uyguladığını söyledi.
Güvenlik açısından bakıldığında bu olay, kazımanın nasıl “sadece meta veriler”in ötesine geçerek endüstriyel ölçekte içerik hırsızlığına dönüşebileceğinin ders kitabı örneğidir. Saldırganlar, genel API’leri, belirtecin kötüye kullanımını, hız sınırı kaçırmayı ve DRM atlama tekniklerini birleştirerek, korunan içeriği geniş ölçekte çıkarabilir. Yeterli sayıda hesap oluşturabilir veya bunların güvenliğini aşabilir ve bunların meşru görünmesini sağlayabilirseniz, zamanla içerik korumalarını ortadan kaldırabilirsiniz.
“Spotify kazıması” muhtemelen bir telif hakkı hikayesi olarak çerçevelenecektir. Ancak güvenlik açısından bakıldığında, bir hatırlatma görevi görüyor: Bir platform içeriği veya meta verileri geniş ölçekte açığa çıkarırsa, birisi eninde sonunda ona erişimi otomatikleştirecek, onu silah haline getirecek ve yeniden dağıtacaktır.
Suçluları asla durdurmayan şartlar ve koşullar ihlallerinin arkasına saklanmak etkili bir güvenlik kontrolü değildir.
Bu sizi nasıl etkiliyor?
Şu anda şifrelerin, ödeme ayrıntılarının veya özel çalma listelerinin açığa çıktığına dair bir gösterge yok. Bu olay tamamen içerik ve meta verilerle ilgilidir, kullanıcı veritabanlarıyla ilgili değildir. Bununla birlikte, dolandırıcılar yine de aksini iddia edebilir. Hesap verilerinizin ele geçirildiğini iddia eden ve giriş bilgilerinizi isteyen mesajlara karşı dikkatli olun.
Güvenli tarafta olmak için bazı genel Spotify güvenlik ipuçları:
- Spotify şifrenizi başka bir yerde tekrar kullandıysanız veya kimlik bilgilerinizi paylaştıysanız içiniz rahat olsun diye şifrenizi değiştirmeyi düşünün.
- Yayın hizmetlerindeki aktif oturumları düzenli olarak inceleyin ve tanımadığınız her şeyi iptal edin. Spotify, cihaz başına oturum yönetimi sunmaz ancak aracılığıyla tüm cihazlardan çıkış yapabilirsiniz. Hesap > Ayarlar ve gizlilik Spotify’ın web sitesinde.
- Giriş bilgilerinizi veya geniş OAuth izinlerinizi isteyen resmi olmayan indiricilerden, dönüştürücülerden veya “Spotify modlarından” kaçının. Bu araçlar genellikle aynı türden kazıma altyapısına dayanır veya daha kötüsü, kimlik bilgileri çalan kötü amaçlı yazılımlar olarak işlev görür.
Yalnızca tehditleri bildirmiyoruz; sosyal medyanızı korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Kimlik Hırsızlığı Korumasını kullanarak sosyal medya hesaplarınızı koruyun.