Un’operazione su larga scala, che promette di archiviare e distribuire il catalogo musicale di Spotify in un torrent da 300 terabyte: è questa la dichiarazione con cui Anna’s Archive, la biblioteca digitale ombra già nota per il suo archivio di libri e paper scientifici, si è presentata alla ribalta della cronaca tech.

L’annuncio, pubblicato nel blog del progetto, descrive un’iniziativa di “preservazione musicale” in risposta a quella che viene definita la fragilità delle piattaforme di streaming centralizzate.

Spotify, dal canto suo, ha confermato di aver avviato un’indagine interna e di stare valutando la portata di un possibile accesso non autorizzato.

Cosa è successo ai brani di Spotify

Secondo quanto dichiarato da Anna’s Archive, il mirror si concentra sui brani più ascoltati: 86 milioni di tracce che rappresenterebbero il 99,6% del traffico di riproduzione sulla piattaforma.

Come primo passo è già stato rilasciato un torrent autonomo contenente il database dei metadati, che copre circa 256 milioni di brani e 186 milioni di codici ISRC univoci, l’identificativo utilizzato dall’industria discografica per tracciare le registrazioni.

Spotify, intervistato da Billboard, ha risposto con un comunicato cauto ma non evasivo: un portavoce ha spiegato che un soggetto terzo avrebbe raccolto metadati già pubblicamente disponibili e avrebbe poi impiegato “tecniche illecite” per bypassare i sistemi DRM e accedere a una porzione dei file audio.

La formulazione lascia spazio a diverse interpretazioni: la società non conferma le dimensioni descritte dal gruppo, né ammette più del furto di “alcuni” file audio, ma riconosce implicitamente che qualcosa è stato compromesso.

L’aspetto più interessante dal punto di vista tecnico è la metodologia con cui Anna’s Archive afferma di aver selezionato i contenuti.

Spotify assegna a ogni brano un punteggio di “popolarità” che va da 0 a 100, calcolato algoritmicamente in base al numero di ascolti e alla loro recentezza. Il gruppo sostiene di aver utilizzato questo indicatore per stabilire una gerarchia di priorità: i brani con popolarità maggiore sarebbero stati scaricati mantenendo la qualità originale di Spotify (OGG Vorbis a circa 160 kbps), mentre quelli meno richiesti sarebbero stati convertiti in OGG Opus a circa 75 kbps per ridurre lo spazio occupato.

La cosiddetta “coda lunga” del catalogo – i brani con popolarità zero – sarebbe stata invece quasi completamente ignorata, ritenuta statisticamente trascurabile in termini di ascolti e potenzialmente satura di contenuti dubbi, come musica generata da IA difficilmente filtrabile.

Cosa si può fare per arginare questi attacchi?

Al di là della retorica della “preservazione culturale”, l’operazione presenta tutti i connotati di un’estrazione massiva di dati seguita dalla ridistribuzione di contenuti protetti.

Questa attività viola quasi certamente i termini di servizio di Spotify e la normativa sul copyright, rendendo probabili richieste di rimozione e interventi legali da parte dei titolari dei diritti.

Ma al di là delle implicazioni legali, l’episodio solleva domande più profonde sulla sicurezza delle API e dei sistemi di accesso delle piattaforme di streaming.

Se davvero è stato possibile raccogliere metadati su 256 milioni di brani e aggirare le protezioni DRM per scaricare decine di terabyte di audio, significa che esistono vettori di accesso – forse legittimi nelle intenzioni, ma scarsamente protetti – che possono essere sfruttati in modo sistematico.

Spesso le vulnerabilità non risiedono in exploit sofisticati, ma in meccanismi di autenticazione deboli, endpoint API troppo permissivi, log di debug lasciati attivi in produzione, o semplicemente in una scarsa segmentazione tra dati pubblici e dati sensibili.

Un promemoria per chi gestisce servizi esposti al web

Per chi progetta e gestisce servizi esposti al web, l’episodio è un interessante promemoria sul fatto che, ogni endpoint, ogni metadato accessibile, ogni sistema di ranking può diventare un tassello di una strategia di scraping su larga scala.

Non basta proteggere le password degli utenti: occorre modellare le minacce considerando anche chi vuole semplicemente “leggere tutto”, senza necessariamente alterare i dati.

Rate limiting, monitoraggio delle query anomale, autenticazione anche per i dati considerati “pubblici” ma strutturati, e una drastica riduzione della superficie di attacco delle API sono pratiche che, se implementate con rigore, possono rendere operazioni come quelle di Anna’s Archive molto più costose e facilmente rilevabili.

L’acquisizione di valore nel dato (sia esso un file musicale, un documento o un dato sensibile di un utente) fa sì che cambi sempre di più il target degli attacchi.

I dati sono una nuova miniera ed è qui che sempre più si concentrerà l’attività criminale.