黑客平台Anna's Archive上周末宣称从流媒体服务企业Spotify抓走300TB文件,几乎是平台上所有曲目。Spotify已证实此事。
Anna's Archive自称是人类史上最大真正开放的数据库。该平台宣称,早先,他们发现大规模抓取Spotify数据的渠道,可让他们创建音乐归档,目的是提供网友保存。他们一共备份了Spotify将近300TB的音乐文件和metadata,并且提供torrents公开下载。
这些文件包含2025年7月以前收录平台的2.56亿首歌曲和音乐,以及1.86亿条ISRC(国际标准录音录像数据代码)。黑客宣称发布的数据占Spotify所有歌曲的99.9%,而其备份的8,600万个音乐文件,数据量达300TB,占比达99.6%。最受欢迎的10,000首歌曲已经以13.8MB的gzip文件格式发布。黑客说,将分阶段把Spotify资产,包括metadata、音乐文件、其他文件metadata、唱片专辑、及.xstdpatch文件(作为重建源文件案之用)开放。
Spotify周一对媒体表示,这整件事是黑客使用了第三方单位创建的用户账号,而非“黑入Spotify”。黑客违反该公司使用条款,窃走平台某些音乐数据,时间约数个月,但是该公司未说明外流数据的规模。该平台并称,黑客并未窃取用户数据,而且公开文件前没有联系他们。现在Spotify已经找到黑客用于数据窃取的文件且加以关闭,他们也已经加入新的防护措施,持续监控可疑行动。
AI Certs分析Anna's Archive的犯案手法。黑客是从Spotify API端点进行大规模网页抓取,研究人员怀疑可能使用令牌收割(token harvesting)以绕过流量速限保护。而且黑客可能违法绕过了DRM防护而截取了某些声音频。MalwareBytes分析,这事件可以说是产业规模内容窃取的教科书式案例,并警告如果有心人黑入够多合法账号或创建看似合法的假账号,长期而言就能削弱内容防护。
