新闻快讯
< >

全球最大正版流媒体音乐服务平台Spotify成“网络欺诈犯”

全球最大正版流媒体音乐服务平台Spotify成“网络欺诈犯”-E安全

Spotify于2008年10月在瑞典首都斯德哥尔摩正式上线,提供包括Sony Music、EMI、Warner Music Group和Universal四大唱片公司及众多独立厂牌所授权、由数字版权管理(DRM)保护的音乐。经过多年发展,已成为全球最大的正版流媒体音乐服务平台。截止到今年6月,Spotify的全球用户数量已经超过了1.4亿。

Spotify旗下还拥有一个同名的论坛,用于Spotify用户反馈遇到的异常问题、与他人分享或讨论音乐以及想法。到目前为止,Spotify论坛的注册用户已经超过了640万人次。

安全研究员Cody Johnston表示,作为一个红遍全球的论坛,Spotify似乎成为了网络欺诈者的利用对象。

Cody发现,在过去的几个月里,网络欺诈者一直在利用Spotify论坛将他们用于诈骗的电话号码显示在Google搜索结果的第一页。他们通过向Spotify论坛持续不断提交垃圾帖子,使得他们的帖子页面在Google搜索结果中获得了不错的排名。

从搜索结果我们看出,欺诈者有一个很直接的目的——让不知情的受害者误以为这些电话号码是某些企业的官方客服电话号码,进而诱导受害者购买不必要的服务和软件。

全球最大正版流媒体音乐服务平台Spotify成“网络欺诈犯”-E安全

这些“莫名背锅”的企业包括Tinder、Linksys、AOL、Turbotax、 Coinbase、Amazon、Apple、Microsoft、Norton、McAfee等等。

在9月25日,Cody通过推特向Spotify反映了这个问题,但并没有得到Spotify的回复。直到10月30日,Spotify才通过一个帖子承认了问题的存在,并表示正在试图进行解决。

全球最大正版流媒体音乐服务平台Spotify成“网络欺诈犯”-E安全

不过,Spotify直到现在也依然没有能够解决掉这个问题。在Spotify论坛上,我们仍然能够看到每分钟就会出现大量的垃圾帖子。

全球最大正版流媒体音乐服务平台Spotify成“网络欺诈犯”-E安全

研究人员在对Spotify论坛进行了全面的检查后发现,会出现这种状况是因为Spotify论坛存在两个配置问题。

第一个问题,Spotify论坛过渡依赖于Google的reCAPTCHA服务作为它的“防线”,但已经有事实证明,Google reCAPTCHA服务并不能保证100%的准确率。

第二个问题,也是最主要的问题。Spotify论坛允许用户在发贴时,不需要进行电子邮件验证。这意味着网络欺诈者可以通过自动化工具以及虚假的电子邮箱地址来注册账户,并且这些账户可以在论坛上正常发帖。

研究人员表示,就论坛管理而言,电子邮件验证是防止垃圾帖子最重要的步骤之一。导致这一步骤缺失的原因暂不得知,可能来自Spotify论坛的技术服务供应商Lithium并没有提供这项设置,也可能来自Spotify论坛本身并没有启用它。