As playlists e podcasts do Spotify estão sendo utilizadas indevidamente para promover software pirata, códigos de trapaça para jogos, links de spam e sites de "warez".
Através da inserção de palavras-chave direcionadas e links nos nomes das playlists e descrições dos podcasts, os atores de ameaças conseguem beneficiar-se do aumento no SEO para seus questionáveis canais online, já que os resultados do web player do Spotify aparecem em motores de busca como o Google.
Quando se trata de abusar de plataformas, spammers e golpistas exploram todas as possibilidades para promover seus agendas.
Recentemente, uma playlist do Spotify com o título "Sony Vegas Pro 13 Crack..." parecia direcionar tráfego para um ou mais sites de software "grátis" listados no título e descrição da playlist.
Os termos "warez" ou "crack" são frequentemente usados na cultura da computação para referir-se a softwares piratas que circulam na internet, muitas vezes em sites não-confiáveis.
Não existe garantia alguma de que tentar baixar produtos de software falsificados desses websites, ou "torrents" seja livre de riscos, já que estes podem conter malware, ou levar os usuários para sites de "enquetes" fraudulentas que são golpes.
Usuários que baixam tais "warez" podem, de fato, ocasionalmente receber o programa de software anunciado nos websites suspeitos sem pagar nada, mas podem acabar, sem saber, com vírus, adware ou outros programas indesejados escondidos na versão "crackeada" do software.
Observamos que um efeito colateral de contaminar plataformas confiáveis e amplamente populares como o Spotify com spam, para os atores de ameaças, é o impulso adicional aos rankings de motores de busca de seus sites obscuros.
Aqueles que buscam por palavras-chave como "download grátis" combinadas com "Sony Vegas Pro 13" ou outros produtos de software podem se deparar com os seguintes resultados no Google:
Isso é possível porque, além dos aplicativos para móveis e desktop, o Spotify oferece uma versão de web player em open.spotify.com.
Playlists e podcasts disponíveis no web player são, como qualquer site, indexados por motores de busca como o Google.
Isso significa que os websites ilícitos de software "grátis" agora têm maior visibilidade e uma chance maior de direcionar tráfego para seus servidores — que muitas vezes estão repletos de anúncios, conteúdo de spam, “enquetes” falsas e distribuições de criptomoedas pelas quais se deve navegar para, quem sabe, conseguir baixar um produto de software crackeado, o que é novamente arriscado.
Perguntamos ao Spotify se ele tinha algum controle ou tecnologias automatizadas implementadas para capturar e prevenir spam, e se algum aplicativo ou serviço de terceiros do Spotify estava sendo abusado para introduzir conteúdo de spam na plataforma.
O Spotify excluiu a playlist e o podcast "Sony Vegas Pro" e seu porta-voz respondeu:
"O título da playlist em questão foi removido," informou o Spotify.
"Os Regulamentos da Plataforma do Spotify proíbem a postagem, compartilhamento ou fornecimento de instruções sobre a implementação de malware ou práticas maliciosas relacionadas que busquem causar danos ou obter acesso não autorizado a computadores, redes, sistemas ou outras tecnologias."
Comparado a playlists, observamos um número muito maior de podcasts espúrios, cada um com vários "episódios", publicados com a aparente intenção de promover links de spam, "torrents" e canais no Telegram que parecem ser golpes.
Esses "episódios" têm cerca de dez a vinte segundos de duração e consistem em áudio de fala sintetizada que direciona os usuários a visitar o "link na descrição".
Um desses episódios é transcrito abaixo:
"Olá ouvintes, bem-vindos ao meu canal, tenho boas notícias para vocês, se quiserem baixar ou ouvir audiobooks deste canal, por favor cliquem no link na descrição e inscrevam-se lá, então vocês terão acesso ilimitado a livros, por favor me sigam, estou procurando várias opções de ebooks e audiobooks.
Obrigado por visitarem meu canal, calorosas saudações de minha parte."
Estes links levam a uma página que de fato tem botões de "baixar" ou "ler online" ao lado da imagem de capa digital do livro anunciado.
Clicar em qualquer um dos botões, entretanto, tenta ou lançar uma enquete ou, pior, direcionar os usuários para extensões “ad block” frágeis do Chrome que podem estar coletando seus dados:
De maneira similar, alguns podcasts que descobrimos afirmavam oferecer códigos de trapaça para títulos populares como Apex Legends, hacks para Fortnite, scripts para Roblox, "mods para GTA V" e trainers.
O texto "Códigos de Trapaça Grátis" na descrição deste episódio exemplo era clicável e levava ao site cheater.ninja:
Curiosamente, enquanto plataformas como o Spotify poderiam ter suas tecnologias automatizadas e barreiras restringindo nomes de playlists ou descrições inválidas, aplicativos e serviços de terceiros são outro vetor que os atores de ameaças exploram para ganhar terreno.
Um denominador comum entre muitos, embora não todos esses "podcasts", era o uso desses serviços de terceiros que fornecem hospedagem, publicação e serviços de distribuição para produtores de podcasts em plataformas de streaming, incluindo o Spotify.
Notamos um banner "Powered by Firstory Hosting" anexado à área de descrição desses podcasts.
Lançada em 2019, a Firstory é um serviço online projetado para "empoderar podcasters no mundo para distribuir em todos os lugares e começar a conectar-se com o público!"
É possível usar a Firstory para publicar podcasts no Spotify, mas a plataforma reconhece que o spam é um problema contínuo que está focando em controlar.
"Contas de spam e conteúdo são desafios contínuos, e é algo em que continuamos focando em melhorar," escreveu o co-fundador da Firstory, Stanley Yu, em resposta às nossas perguntas.
Qualquer um pode usar nossa plataforma para publicar podcasts no Spotify.
No entanto, temos certos filtros em lugar para prevenir contas que utilizem domínios fraudulentos específicos ou endereços de e-mail contendo variações como account+[números]@gmail.com ou '.' em e-mails.
Essas contas de spam não só violam os direitos dos criadores que mais valorizamos, mas também aumentam nossos custos operacionais.
Dedicamos recursos consideráveis para abordar essa questão.
Yu compartilhou que as medidas de segurança incluem verificação de e-mail e bloqueio; isto é, realizar "uma série de verificações para bloquear endereços de e-mail suspeitos ou fraudulentos durante o processo de registro da conta."
Além disso, a plataforma trabalha em estreita colaboração com o Spotify e, segundo Yu, revisa e reporta prontamente qualquer conteúdo infrator detectado.
"Também temos integração API com o Spotify para remover qualquer conteúdo sinalizado.
Escaneamos títulos de podcasts e notas do programa por palavras-chave específicas como EPUB, PDF, etc., para prevenir a hospedagem de conteúdo spam.
"Um desafio aqui é que alguns episódios usam variações como 'E.P.U.B.' ou contêm termos como 'epub' em contextos não relacionados (por exemplo, 'republic').
Esses casos requerem atenção extra durante nosso processo de revisão," Yu concluiu.
Desde inserir "links manuscritos" em perfis de namoro até sequestrar websites de governos e universidades, atores inescrupulosos têm repetidamente empregado táticas novas para empurrar conteúdo indesejado às massas.
E, agora, eles não te deixarão em paz nem com sua música favorita.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...