远离周杰伦版权之争,Spotify却深陷黑产蚕食之境
在QQ音乐、网易云音乐因“周杰伦版权”而再次掀起口水战时,Apple Music死对头Spotify宣布在美直接上市之后,欧美媒体曝出Spotify深陷“撞库”、“刷榜”、“薅付费会员”危机。根据《Bot Traffic Report》报告显示,全球黑产规模已突破4千亿美元,全球企业资产正在遭受蚕食......
Spotify黑产危机
1
付费会员系统存漏洞
200万人免费用
截至2017年底,Spotify拥有1.57亿用户,其中7100万用户为付费用户。Spotify免费用户也能免费播放音乐,但是会插播广告,并限制播放歌曲的顺序。而付费用户可以享受Spotify Premium高级服务,免广告并解锁完整的功能服务。
在这家瑞典音乐巨头正式向纽约证券交易所提交直接上市申请后,就有外媒曝出,这个全球流媒体音乐行业的领导者最近正遭遇黑产攻击,数据显示存在200万的Spotify用户在没有付费的情况下就享受到了免广告的流媒体音乐服务。按照10美元/月的Spotify会员单价计算,Spotify这一漏洞,直接损失将高达2,000万美元。这还不包括造成的运营成本,以及付费客户流失等问题。
Spotify“破解版”
淘宝兜售Spotify“非破解”版账号
2
验证码形同虚设
Spotify社区被垃圾帖攻占
截止至2017年12月,Spotify论坛的注册用户已经超过了640万人次,并且拥有超高的活跃量。但是欧美安全研究院发现,作为一个红遍全球的论坛,Spotify已成为黑产实施“网络诈骗”的温床。
在过去的几个月里,黑产一直在利用Spotify论坛将他们用于诈骗的电话号码显示在Google搜索结果的第一页。他们通过向Spotify论坛持续不断提交垃圾帖子,使得他们的帖子页面在Google搜索结果中获得了不错的排名。从搜索结果我们看出,黑产有一个很直接的目的——让不知情的受害者误以为这些电话号码是某些企业的官方客服电话号码,进而诱导受害者购买不必要的服务和软件。
这些“莫名背锅”的企业包括Tinder、Linksys、AOL、Turbotax、 Coinbase、Amazon、Apple、Microsoft等互联网巨头,甚至Norton、McAfee等全球信息安全巨头也在其中!
研究人员在对Spotify论坛进行了全面的检查后发现,会出现这种状况是因为Spotify社区存在两个配置问题。
第一个问题,Spotify论坛过渡依赖于Google的reCAPTCHA(谷歌图片验证码)服务作为它的“防线”,但在上个月,谷歌官方宣布已停止reCAPTCHA V1全球服务;
第二个问题,也是最主要的问题。Spotify论坛允许用户在发贴时,不需要进行安全验证。这意味黑产可以通过程序大量注册垃圾账户,并且这些账户可以在论坛上正常发帖。
“电信诈骗”早在2000年就在国内出现,仅2008年北京、上海、广东、福建这四个省市因电信诈骗犯罪市民损失近6亿元。而这一手段,正在欧美黑产圈流行起来,并且大有全球蔓延之势。
3
黑产猖獗
CEO丹尼尔·埃切账号被盗
平台遭受撞库攻击
国外目前最火的黑客组织——OurMine,虽然只有三个成员,但却破解了许多国外科技公司高管们的社交账户,这其中就包括Spotify CEO丹尼尔·埃切的社交媒体账户。OurMine团队的一名成员表示,他们发现高管们喜欢将社媒账号与其他平台网站相关联,从而为下一轮的撞库攻击提供了便利。
而在国外一家媒体提供的2017年遭受撞库攻击的企业中我们发现,Spotify依然在列:
当然,我们现在都在围观国内音乐巨头们的版权之争,但是等到巨头们冷静下来同样会发现,在卧床之榻酣睡的并不是竞争对手,而可能是已经壮大的“吸血”巨人——黑产。而在那时,这些音乐巨头的境地可能比Spotify还要凶险,与黑科技世界第一的“中国黑产”相比,国外那些羊毛党真的只是毛毛雨。
因为我们可以预见,未来巨头之争,关键将聚焦在“谁先犯错”。而“后院失火”这样的企业网络安全问题(Facebook泄密事件),或将决定互联网未来的格局......
许你还想看:
点击“阅读原文”,了解“全新业务安全”解决方案
▼