Плейлисты и подкасты на Spotify используются для продвижения пиратского контента, игровых читов, спам-ссылок и веб-сайтов, основанных на варезах. Злоумышленники вставляют ключевые слова и ссылки в названия плейлистов и описания подкастов для SEO-оптимизации сомнительных ресурсов, поскольку результаты веб-плеера Spotify появляются в результатах поисковых систем (например, Google).

Одним из первых обратил внимание на эту проблему оплаченный Энтузиаст безопасности Карол Пасиорек обнаружил на Spotify плейлист под названием «Sony Vegas Pro 13 Crack…» (теперь удален). В данном случае ссылки в названии и описании плейлиста вели на подозрительные сайты с бесплатным ПО.

«Киберпреступники используют Spotify для распространения вредоносного ПО. Почему? «Spotify имеет хорошую репутацию, а его страницы легко индексируются поисковыми системами, что делает его эффективной платформой для продвижения вредоносных ссылок», — пояснил исследователь.

Как отмечают журналисты издания: Звуковой сигнал компьютераНет никакой гарантии, что попытка скачать пиратский контент с таких ресурсов окажется успешной. Такие сайты могут содержать вредоносное ПО или перенаправлять пользователей на мошеннические сайты с различными опросами и конкурсами.

Издание сообщает, что злоупотребление Spotify на самом деле помогает злоумышленникам улучшить рейтинг сомнительных сайтов в поисковых системах. Например, если вы выполните поиск в Google по ключевым словам «бесплатная загрузка» в сочетании с «Sony Vegas Pro 13», вы получите следующие результаты.

Как упоминалось выше, злоупотребление основано на веб-плеере Spotify, расположенном по адресу open.spotify.com. Наконец, плейлисты и подкасты, доступные в веб-плеере, «видны» поисковым системам.

Журналисты спросили представителей Spotify, имеет ли компания средства контроля или автоматизированные технологии для обнаружения и предотвращения спама, а также могут ли сторонние приложения и сервисы использоваться для отправки спам-контента на платформу.

«Правила платформы «Spotify запрещает публикацию, распространение или предоставление инструкций по внедрению вредоносного ПО или связанных с ним вредоносных действий, направленных на повреждение или получение несанкционированного доступа к компьютерам, сетям, системам или другим технологиям», — ответила компания, но проигнорировала другие вопросы.

При этом журналисты Bleeping Computer отмечают, что проблема со спамом не ограничивается только плейлистами и подкастами, продвигающими потенциально вредный пиратский контент. По их словам, у Spotify вообще есть проблемы с пиратскими копиями, в том числе с электронными книгами.

Была обнаружена серия фейковых подкастов, каждый из которых состоял из нескольких эпизодов продолжительностью от 10 до 20 секунд и был опубликован с очевидным намерением продвигать спам-ссылки, ведущие на каналы Telegram и торренты. Обычно эти выпуски подкастов содержат синтезированный язык, который побуждает людей нажать на «ссылку в описании».

В результате такие ссылки приводят пользователя на страницы, где он якобы может скачать электронную книгу. На странице есть кнопки «Скачать» и «Читать онлайн». Однако нажатие одной из этих кнопок либо запускает опрос, либо перенаправляет жертву на установку подозрительного расширения Chrome, которое утверждает, что блокирует рекламу (но на самом деле, вероятно, крадет данные).

Журналисты также обнаружили подобные «подкасты», рекламирующие читы, скрипты, моды и трейнеры для таких популярных игр, как Apex Legends, Fortnite, Roblox, GTA V и так далее.

Следует отметить, что общим знаменателем многих из этих «подкастов» является использование сторонних сервисов, которые предоставляют услуги хостинга, публикации и распространения потоковым платформам, включая Spotify.

Например, к описаниям многих фейковых подкастов был прикреплен баннер «Создано Firstory Hosting». Firstory — это сервис, запущенный в 2019 году, целью которого является «предоставить возможность подкастерам по всему миру распространять подкастеры». [свой контент] Идите куда угодно и общайтесь с аудиторией».

Firstory на самом деле можно использовать для публикации подкастов на Spotify, и платформа признает, что спам — это постоянная проблема, над решением которой они работают вместе со Spotify.

«Спам-аккаунты и контент — это постоянная проблема, и мы продолжаем работать над ее решением», — сказал Фёртори. — Любой может использовать нашу платформу для публикации подкастов на Spotify. Однако у нас есть определенные фильтры, позволяющие предотвратить использование учетных записей с определенными мошенническими доменами или адресами электронной почты, включая такие шаблоны, как «Учетная запись+».[numbers]@gmail.com или «.» в адресах электронной почты. Эти спам-аккаунты не только нарушают права авторов, которыми мы дорожим, но и увеличивают наши эксплуатационные расходы. Мы вкладываем значительные ресурсы в решение этой проблемы».

Кроме того, представители сервиса заявили, что у них есть API-интеграция со Spotify для удаления «плохого» контента и что они проверяют нарушения различными методами.

«Чтобы предотвратить публикацию спам-контента, мы сканируем заголовки и примечания подкастов на наличие определенных ключевых слов, таких как EPUB, PDF и т. д. Проблема в том, что в некоторых эпизодах используются такие варианты, как «EPUB» или «epub», в контексте, не связанном с пиратством (например, в слово «республика»). Такие случаи требуют повышенного внимания в процессе тестирования», — поясняют в компании.