駭客平臺抓取了Spotify將近100%的歌曲

駭客平臺Anna's Archive上周末宣稱從串流服務業者Spotify抓走300TB檔案，幾乎是平臺上所有曲目。Spotify已證實此事。

Anna's Archive自稱是人類史上最大真正開放的資料庫。該平臺宣稱，早先，他們發現大規模抓取Spotify資料的管道，可讓他們建立音樂歸檔，目的是提供網友保存。他們一共備份了Spotify將近300TB的音樂檔案和metadata，並且提供torrents公開下載。

這些檔案包含2025年7月以前收錄平臺的2.56億首歌曲和音樂，以及1.86億條ISRC（國際標準錄音錄影資料代碼）。駭客宣稱釋出的資料占Spotify所有歌曲的99.9%，而其備份的8,600萬個音樂檔案，資料量達300TB，占比達99.6%。最受歡迎的10,000首歌曲已經以13.8MB的gzip檔格式釋出。駭客說，將分階段把Spotify資產，包括metadata、音樂檔案、其他檔案metadata、唱片專輯、及.xstdpatch檔（作為重建原始檔案之用）開放。

Spotify周一對媒體表示，這整件事是駭客使用了第三方單位建立的用戶帳號，而非「駭入Spotify」。駭客違反該公司使用條款，竊走平臺某些音樂資料，時間約數個月，但是該公司未說明外洩資料的規模。該平臺並稱，駭客並未竊取用戶資料，而且公開檔案前沒有聯繫他們。現在Spotify已經找到駭客用於資料竊取的檔案且加以關閉，他們也已經加入新的防護措施，持續監控可疑行動。

AI Certs分析Anna's Archive的犯案手法。駭客是從Spotify API端點進行大規模網頁抓取，研究人員懷疑可能使用令牌收割（token harvesting）以繞過流量速限保護。而且駭客可能違法繞過了DRM防護而擷取了某些聲音檔。MalwareBytes分析，這事件可以說是產業規模內容竊取的教科書式案例，並警告如果有心人士駭入夠多合法帳號或建立看似合法的假帳號，長期而言就能削弱內容防護。