Украденная музыка Spotify "накормит" искусственный интеллект
Группа "пиратов-активистов" скопировала и взломала музыкальную библиотеку крупнейшего музыкального стриминга Spotify и планирует выложить ее в открытый доступ.
История началась с публикации в блоге группы Anna's Archive: "Мы сделали резервную копию Spotify (метаданные и музыкальные файлы). Она распространяется в виде больших торрент-файлов (~300 ТБ), сгруппированных по популярности. В этот релиз вошла крупнейшая общедоступная база музыкальных метаданных, содержащая 256 млн треков и 186 м уникальных ISRC-кодов. Это первый в мире "архив сохранения" музыки, который является полностью открытым (это означает, что его может легко скопировать любой, у кого достаточно места на диске), содержащий 86 миллионов музыкальных файлов, что составляет около 99,6% всех прослушиваний сервиса Spotify."
Позже представители Spotify подтвердили факт несанкционированного доступа к своей фонотеке: "Spotify выявил и заблокировал злонамеренные учетные записи пользователей, занимавшихся незаконным сбором данных. Мы внедрили новые меры защиты от подобных атак на авторские права и активно отслеживаем подозрительное поведение. С самого первого дня мы поддерживаем сообщество артистов в борьбе с пиратством и активно сотрудничаем с нашими партнерами по индустрии для защиты создателей и отстаивания их прав".
Anna's Archive не являются хакерами в классическом понимании этого термина, хотя их деятельность близка к активизму (Хактивизм - это форма протеста, сочетающая хакерские ("hack") и активистские ("activism") методы для продвижения социальных и политических идей). Это поисковая система для теневых библиотек, созданная анонимной командой из проекта Pirate Library Mirror в ответ на закрытие Z-Library (теневая библиотека научной, технической и научно-популярной литературы), в 2022 году. Проект индексирует метаданные из других теневых источников вроде Library Genesis, Sci-Hub и Z-Library, стремясь каталогизировать все книги мира и сделать доступ к ним открытым и бесплатным. Anna's Archive столкнулась с блокировками в странах (Италия, Нидерланды), удалением URL из поисковиков и судебными исками за нарушение авторских прав и кражу данных. Google удалил 749 млн URL по жалобам более 1000 издателей (Penguin Random House, Wiley), а Telegram заблокировал канал Anna's Archive за пиратство (январь 2025).
"Изначально понятие "хакер" имело другое значение. Так называли экспертов в компьютерных системах, кто мог быстро или элегантно решить какую-либо проблему. А затем это понятие сузилось и так стали называть тех, кто занимается взломом, то есть получением несанкционированного доступа", - рассказал "РГ" руководитель группы анализа вредоносного программного обеспечения центра исследования киберугроз Solar 4RAYS ГК "Солар" Станислав Пыжов. "Назвать эту акцию взломом Spotify нельзя. Хакеры (или пираты) не получили доступ к инфраструктуре Spotify, они лишь получили доступ к трекам, которые и так публично доступны для прослушивания. Но они смогли обойти DRM-защиту и скачать эти треки. Мы не знаем устройство DRM-защиты, используемой Spotify, поэтому оценить требуемый уровень квалификации сложно. Но хакеры проделали большую работу над автоматизацией процесса обхода и получения треков и тем, чтобы остаться незамеченными для защиты от ботов", - отметил эксперт.
Руководитель направления киберразведки Центра противодействия киберугрозам Innostage SOC CyberART Александр Чернов считает, что если посмотреть на действия и последствия, то виден несанкционированный доступ к информации, обход средств защиты (DRM) и массовую эксфильтрацию данных. Это можно считать таргетированной атакой с идеологическим мотивом.
При этом он также согласен с тем, что участники взлома музыкальной библиотеки Spotify продемонстрировали довольно высокую техническую подготовку акции: "По собранной информации об инциденте можно уверенно говорить, что уровень зрелости атакующих был довольно высоким. Операция была хорошо спланирована, ресурсы, в том числе каналы связи и инфраструктура по 300Тб данных, подготовлены заранее".
Сегодня большинство коммерческого контента защищено DRM (Digital Rights Management) - технологией защиты авторских прав, ограничивающей несанкционированное копирование, распространение и воспроизведение цифрового контента (фильмы, музыка, книги, игры), шифруя его и требуя лицензию для доступа, что позволяет правообладателям контролировать использование и монетизацию контента.
Эксперты при этом отмечают, что DRM помогает усложнить кражу контента, но не предотвратить ее. Дело в том, что контент все равно оказывается на стороне пользователя, а значит, он может быть каким-либо образом извлечен. DRM-защита лишь сдерживает массовое пиратство, делая легальное прослушивание более удобным, чем нелегальное. Фундаментальная уязвимость технологии в том, что ключи дешифровки контента в какой-либо форме должны быть переданы пользователю, чтобы он мог услышать музыку или увидеть фильм - именно этим и пользуются атакующие.
По мнению генерального директора ассоциации "Интернет-видео" Алексея Бырдина полностью неуязвимых для взломов систем DRM не существует: "Эти технологии могут предотвратить попытки создать нелегальную копию обычными пользователями на дилетантском уровне, но от сфокусированной атаки опытных хакеров DRM не защитит. В то же время наивно предполагать, что пиратское сообщество до этого взлома не располагало библиотекой музыкальных файлов. Вероятно, эта конкретная группировка сочла, что скачать файлы со Spotify - проще, чем искать аналогичный массив по конкурирующим пиратским библиотекам."
По мнению эксперта реальное противодействие пиратству фокусируется скорее на этапе пресечения нелегального распространения. И тут ключевой технологией является "цифровой отпечаток" (digital fingerprint), с помощью которой можно весьма эффективно пресекать оборот пиратских копий на UGC платформах.
"Самым известным примером, конечно, является система Content ID от YouTube, но аналогичные разработки есть и в России", - подчеркнул Бырдин.
Как заявляют представители Anna's Archive некоторое время назад они обнаружили уязвимость в защите контента Spotify: "Мы увидели здесь возможность создать музыкальный архив, ориентированный в первую очередь на сохранение контента. В целом, музыка уже достаточно хорошо сохранилась. В мире много любителей музыки, которые оцифровали свои коллекции компакт-дисков и виниловых пластинок, поделились ими через торренты или другие цифровые средства и тщательно каталогизировали их. Однако у этих существующих инициатив есть ряд серьезных проблем. Слишком много внимания уделяется самым популярным исполнителям. Существует огромный музыкальный след, который сохраняется только тогда, когда кто-то достаточно заботится о том, чтобы поделиться им. И такие файлы часто плохо раздаются".
Невозможно не обратить внимание на логическое противоречие между заявлением активистов и деталями проведенной операции.
В ходе нее пираты-активисты скачали именно 86 млн самых популярных из 256 млн музыкальных файлов. Более того, специалисты считают, что если Anna's Archive выложит музыкальный архив открытый доступ, а метаданные (обложки альбомов, названия песен и имена исполнителей музыкальной библиотеки Spotify) они уже выложили, то бенефициарами взлома станут не обычные пользователи, а корпорации занимающиеся разработкой искусственного интеллекта. Эд Ньютон-Рекс, композитор и активист, защищающий авторские права артистов, заявил, что просочившаяся в сеть музыка, вероятно, будет использована для разработки моделей искусственного интеллекта: "К сожалению, эта украденная музыка почти наверняка будет использоваться для обучения ИИ-моделей".