Criminele praktijken op Spotify

Ik las in een verslag over een discussie tijdens ADE dat er hackers zijn die het netwerk van een Amerikaanse gevangenis zijn binnengedrongen om de computers automatisch hun eigen songs herhaald via Spotify te laten afspelen. Wat zullen de inmates opkijken als ze eind dit jaar hun Spotify Wrapped openen! Zelfs terreurgroepen in Qatar blijken geld te verdienen met streamen. Het gaat om vele miljoenen.

Tijd om daar eens verder in te duiken. Ik vond deze fascinerende podcast waarin muzikant en blogger Ari Herstand spreekt met Andrew Batey en Morgan Hayduk, oprichters van Beatdapp een dienst die is gespecialiseerd in het opsporen van fraude met streams.  Heb je een uurtje over? Kijk hem zeker. Mind blowing! Je zult gegarandeerd versteld staan. De titel van deze podcast blijkt trouwens helaas wat te optimistisch, een echte oplossing hebben de experts ook niet.

Ook jij financiert criminelen via je Spotifyaccount!

Het aandeel frauduleuze streams wordt voorzichtig geschat op 10%. Dat betekent dat je met je Premiumaccount ongewild elke maand, pak- ‘m -beet, 1 Euro doneert aan criminele organisaties. Heb je je dat wel eens gerealiseerd?

Van de jaaromzet van Spotify van 3807 miljoen Euro hoort er – vanwege de exploitatiekosten van Spotify zelf- , 70%, dus 2664,9 miljoen naar de artiesten te gaan. Helaas verdwijnt 10% daarvan er dus zo’n 266 miljoen in de zakken van criminelen. Dan heb ik het alleen nog maar over Spotify!

Diensten als YouTube. Apple Music en alle andere muziekstreamers worden eveneens getroffen door fraude. Wereldwijd heeft Spotify een marktaandeel van zo’n 30%, dus we kunnen die 266 miljoen rustig met 3 vermenigvuldigen. Komt er dan op neer dat muzikanten in totaal 789 miljoen mislopen.

Hoe gaan die criminelen te werk?

Ze brengen zelf een song uit op de streamingdiensten. De fraudeurs hebben de inloggevens van vele tienduizenden accounts van onwetende Spotifygebruikers. Ze kunnen die op het darkweb gewoon kopen of een tijdje huren. Via die accounts laten hun song een paar keer per dag afspelen op een moment dat deze gebruiker waarschijnlijk ligt te slapen. De getroffen gebruiker merkt niets. Ook Spotify zal niets afwijkends opmerken. Drie luisterbeurten op een dag lijkt immers normaal luistergedrag. Laat je honderdduizend accounts 3 keer per dag de song afspelen, scoor je toch 300.000 streams, via Spotify goed voor ongeveer  € 1200,-. En dat dagelijks. Zo kun je flink geld verdienen.

Het kan nog geraffineerder

De fraudeurs gaan zelfs zover dat ze het voor elkaar krijgen om een identieke versie van een single of album van een artiest gelijktijdig met de echte artiest uit te brengen. Blijkbaar weten ze de originele geluidsbestanden te onderscheppen door het hacken van een distributeur of platenmaatschappij. Ook omkopen van een medewerker is een niet uit te sluiten mogelijkheid. Je houdt het niet voor mogelijk. Die kopieversie verschijnt dan gewoon in het profiel van de echte artiest en met een beetje geluk pakt het algoritme van Spotify de nepversie op en gaat deze promoten en opnemen in belangrijke playlists. Onvoorstelbaar maar het gebeurt echt, het is geconstateerd bij 1700 artiesten! Jij streamt de nieuwe Coldplay – geen aanrader trouwens – en het geld gaat zonder dat jij of Coldplay het merkt naar een fraudeur. Bizar toch? Het is zo ingenieus dat je er bijna bewondering voor zou krijgen.

Ze schrikken er ook niet voor terug om als liefdadigheid gratis computers uit te delen aan minderbedeelden, maar die computers zijn dan wel zo bewerkt dat ze deel uitmaken van een crimineel botnetwerk.

Een illusie armer

Ik was er altijd van overtuigd dat een User Centric betalingssyteem fraude zou elimineren. User Centric houdt in dat je abonnementsgeld alleen wordt betaald aan artiesten die jij hebt geluisterd.  Ik nam aan dat de fraudeurs een eigen account gebruikten voor hun illegale praktijken. Ze zouden dan hooguit een deel van hun eigen abonnementsgeld terug ontvangen. Een naïeve gedachte, realiseer ik me nu, want dat zou natuurlijk teveel opvallen. Spotify zou zo’n account snel op het spoor komen en afsluiten. Een User Centric betalingssysteem kan zelfs in het voordeel van de fraudeurs uitpakken. Door het hacken van jouw en duizenden andere betaalde accounts vangen ze mogelijk nog meer per stream en als ze ergens een account aantreffen dat wel betaalt maar niet of nauwelijks luistert, hoeven ze een song maar één keer te streamen om de volle mep te ontvangen. Mijn stelling dat User Centric payments fraude elimineren kan dus de prullenbak in, een illusie armer.

Is jouw Spotify account gehackt?

Kan zo maar zijn dat jouw account ook tot zo’n botnetwerk behoort. Misschien je luistergeschiedenis af en toe checken om te kijken of je songs ziet die je nooit zelf kan hebben aangezet? Binnenkort verschijnt je Spotify Wrapped, die zou ook wel eens een verrassing kunnen bevatten.

Het treft niet alleen Spotify

Als marktleider is Spotify uiteraard vooral het werkterrein van fraudeurs. Andere diensten hebben daar natuurlijk ook last van. YouTube is ook een speelplaats voor fraudeurs en wat te denken van de Spotifyconcurrenten die meer per stream betalen. Neem bijvoorbeeld Qobuz dat 4 cent per stream betaalt, 10 keer zoveel als Spotify! Als ik een fraudeur was zou ik me vooral op die dienst richten.

Hoe is dat probleem op te lossen?

Uiteraard lopen op Spotify systemen die verdacht gebruik in de gaten houden. Een account dat achterelkaar dezelfde song blijft afspelen popt natuurlijk al snel op als verdacht. Spotify neemt dan maatregelen. Ook als een song of album van een onbekende artiest ineens opvallend vaak wordt gestreamd gaan de alarmbellen rinkelen. Het gebeurt dan zelfs dat een song van een artiest die volledig te goeder trouw is en de streams niet heeft gemanipuleerd door Spotify offline wordt gehaald. De accounts die deel uit maken van een botnet vallen met hun kleine aantal nepstreams per dag niet direct op, die laten het alarm niet afgaan. De streamingdiensten staan dus voor een grote uitdaging. Al kun je je afvragen hoe hoog dit op de prioriteitenlijst staat. Spotify zelf wordt financieel niet geraakt. Zij pakken hoe dan ook 30% van de omzet. Het is alleen de pot met geld voor artiesten, labels, componisten en tekstschrijvers die door de fraudeurs wordt aangetast.

Wat kunnen gebruikers doen?

Wij kunnen hooguit een klein beetje helpen door regelmatig onze luistergeschiedenis te checken op onregelmatigheden. Lijkt het er op dat je gehackt bent, uitloggen op alle apparaten en je wachtwoord wijzigen.

Gaat Beatdapp fraude met succes bestrijden?

In de podcast hierboven zijn twee oprichters van Beatdapp aan het woord. Zij beloven dat ze streamingdiensten (DSP’s) en distributeurs kunnen helpen bij het opsporen en voorkomen van fraude. Ik hoop dat ze dat kunnen waarmaken.

Gerelateerde berichten

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *