Sappiamo ormai bene come gli attacchi informatici possano essere effettuati per le ragioni più disparate, come ad esempio il furto dei dati degli utenti di un certo servizio o portale oppure a scopo d’estorsione nei confronti di qualche nota compagnia. Il tutto accade quasi sempre sfruttando delle falle già note, come vulnerabilità dei sistemi utilizzati, oppure mediante tecniche più o meno sofisticate di phishing o social engineering, quindi con banali mail indirizzate a qualche dipendente pensando che qualche allegato venga aperto senza troppi problemi, scatenando poi l’infezione e l’inserimento malevolo nei sistemi.
Non è chiaro, lo diciamo subito, quali siano le motivazioni o le tecniche utilizzate per quello che è accaduto alla più grande piattaforma di streaming del mondo Spotify, ma ciò che è certo è che chi ha colpito ha effettuato forse il furto di dati più imponente al mondo, sia come quantità di dati che come impatto. Pochi giorni fa, infatti, sono stati pubblicati svariati terabyte di file in formato Torrent provenienti dagli archivi di Spotify, in modo del tutto indiscriminato usando la scusa della preservazione musicale, solo che non si sa come sia stato possibile. A pubblicare questa enorme quantità di canzoni è stato Anna’s Archive, una sorta di portale che pubblica gratuitamente grandi quantità di libri e ricerche scientifiche altrimenti a pagamento.
La piattaforma streaming si è chiaramente attivata per capire cosa sia successo, avviando una indagine interna a partire da un potenziale accesso non autorizzato ai propri sistemi che ha portato, per snocciolare qualche numero, al furto di metadati di oltre 250 milioni di canzoni e quasi 190 milioni di codici univoci utilizzati globalmente nel settore per tracciare le registrazioni. Secondo ciò che ha specificato Anna’s Archive, invece, il furto s’è concentrato su meno di 90 milioni di brani, quelli più ascoltati. L’azienda che possiede la piattaforma ha raccontato in un comunicato ufficiale che il tutto è accaduto in seguito alla raccolta di metadati già disponibili in rete ma che poi sono state utilizzate delle strategie illegali per aggirare i blocchi dovuti al copyright. Ciò che colpisce, però, è il non ammettere che sono stati rubati i brani pur dicendo che c’è stato un accesso illecito, cosa che suscita più di un dubbio riguardo all’attacco.
Ciò che è certo è che coloro che hanno pubblicato i file nel torrent hanno utilizzato un criterio basato sul gradimento dei brani, mettendo a disposizione quelli maggiormente graditi in qualità maggiore, mentre quelli meno popolari sono stati inseriti in qualità peggiore, ignorando infine quelli che non suscitano alcun gradimento. In attesa di maggiori chiarimenti in merito da parte di Spotify appare palese che non si può affermare che questo furto di brani non si può relegare soltanto ad una operazione in stile Robin Hood, poiché si tratta di un vero e proprio data breach di dimensioni mastodontiche, che viola chiaramente le policy della piattaforma e le leggi sul diritto d’autore, cose delle quali qualcuno dovrà pur rispondere. Questo non rende assolutamente innocente neanche Spotify stesso, poiché con questa offensiva è stata dimostrata la scarsa protezione dell’archivio musicale, magari con la presenza di qualche falla strutturale o bug non sanati ma già noti.
In questo specifico caso è stata attaccata la “casa base” e sembra che non siano stati rubati dati degli utenti, a parte quelli indirettamente espressi tramite il gradimento dei brani, ma vista la scarsa capacità di autoprotezione di cui sopra è evidente che poteva succedere a qualsiasi informazione contenuta nei database. Questo deve evidentemente portare a rivedere diverse policy interne, maggiormente rigorose, che possono evitare in futuro operazioni come quelle che hanno portato Anna’s Archive a pubblicare tutti questi brani in modo gratuito. Non sono solo i dati personali a fare gola agli hacker di tutto il mondo, ma qualsiasi tipo di informazione, questo dev’essere ben chiaro a tutti, dai proprietari dei servizi agli utenti finali.
Fonte: 1
