Spotify, rubato l'archivio (mistergadget.tech)
Anna’s Archive ha rubato l’intero catalogo Spotify: 300 TB con 256 milioni di metadati e 86 milioni di file audio.
Il gruppo di attivisti pirata noto come Anna’s Archive ha annunciato di aver effettuato un “backup” di praticamente l’intero database di Spotify, creando un archivio da ben 300 terabyte. L’annuncio è arrivato tramite un lunghissimo post pubblicato sul blog ufficiale del sito, dove vengono forniti dettagli tecnici su quella che rappresenta probabilmente una delle più grandi violazioni nella storia dello streaming musicale. Secondo quanto dichiarato dagli stessi attivisti, l’operazione di scraping ha coinvolto circa 256 milioni di righe di metadati relativi ai brani musicali e fino a 86 milioni di file audio completi. Si tratterebbe, sempre secondo le stime di Anna’s Archive, di oltre il 99,6% di tutti gli ascolti registrati sulla piattaforma Spotify.
L’intero archivio è già stato messo in distribuzione pubblica attraverso il protocollo peer-to-peer Torrent, anche se al momento sono disponibili soltanto i metadati delle canzoni. I file audio veri e propri stanno arrivando gradualmente, seguendo un ordine basato sulla popolarità dei brani. Questo significa che le canzoni più ascoltate vengono rese disponibili per prime, mentre quelle meno conosciute seguiranno man mano che la distribuzione procede. La scelta di rilasciare prima i metadati probabilmente serve anche a dimostrare l’ampiezza del materiale sottratto, prima ancora che l’audio completo sia distribuito capillarmente attraverso la rete torrent.
Spotify conferma il data breach e avvia indagini interne
Parlando con la testata Billboard, Spotify ha confermato l’incidente e lo ha sostanzialmente inquadrato come un vero e proprio attacco hacker finalizzato al furto di dati. Un portavoce dell’azienda svedese ha spiegato che un’indagine interna ha individuato un accesso non autorizzato ai sistemi aziendali, durante il quale gli hacker avrebbero raccolto metadati pubblicamente accessibili e utilizzato sistemi illeciti per aggirare il sistema DRM con cui vengono protetti i file audio sulla piattaforma. La società ha aggiunto di essere ancora in piena fase di investigazione per comprendere l’esatta portata della violazione, ma ha già ammesso che “alcuni” contenuti sono stati effettivamente compromessi.
La conferma ufficiale da parte di Spotify è significativa perché l’azienda tende solitamente a minimizzare questo tipo di incidenti di sicurezza. Il fatto che abbiano pubblicamente riconosciuto l’accaduto e parlato esplicitamente di “accesso non autorizzato” suggerisce che la violazione sia stata di portata tale da non poter essere ignorata o nascosta. Resta da vedere quali saranno le conseguenze legali e operative per la piattaforma, considerando che milioni di utenti potrebbero vedere la propria musica preferita distribuita illegalmente senza alcun compenso per gli artisti.
File audio compressi: 160 kbps per i brani popolari
Gli attivisti di Anna’s Archive hanno spiegato che la maggior parte delle canzoni più popolari è stata preservata utilizzando il formato originale a 160 kilobit per secondo, che rappresenta la qualità standard offerta da Spotify agli utenti non premium. Le canzoni meno ascoltate invece sono state ulteriormente compresse per risparmiare spazio di archiviazione, una scelta comprensibile considerando l’enorme volume di dati coinvolti. A quanto pare l’attacco sarebbe avvenuto nel mese di luglio 2025, e gli attivisti hanno chiarito che i contenuti caricati sulla piattaforma dopo quella data non saranno disponibili nell’archivio distribuito via torrent.
Questa tempistica è interessante perché significa che Spotify probabilmente ha scoperto la violazione soltanto mesi dopo che era avvenuta, un periodo durante il quale gli hacker hanno avuto tutto il tempo necessario per estrarre metodicamente l’intero catalogo. La scelta di preservare i file a 160 kbps è anche indicativa del fatto che gli attaccanti avevano accesso diretto ai file audio utilizzati per lo streaming, non si sono limitati a registrare l’output audio come farebbe un utente normale. Questo suggerisce un livello di accesso piuttosto profondo all’infrastruttura di Spotify.
La giustificazione degli attivisti: preservare la cultura umana
Se ci fosse bisogno di precisarlo, naturalmente niente di tutto questo è legale. Dal canto suo, Anna’s Archive giustifica l’operazione come parte della propria missione dichiarata di “preservare la conoscenza e la cultura umana“, presentandola più come un atto di conservazione culturale che come vera e propria pirateria. Tuttavia è evidente che c’è molta sovrapposizione tra queste due definizioni, e la distinzione appare piuttosto sottile quando si parla di sottrarre e distribuire illegalmente 300 terabyte di contenuti protetti da copyright.
Il gruppo Anna’s Archive è noto per operazioni simili in passato, avendo creato enormi archivi di libri, paper scientifici e altri materiali culturali che distribuisce gratuitamente nonostante le protezioni legali. La loro filosofia si basa sull’idea che la conoscenza e la cultura dovrebbero essere accessibili a tutti gratuitamente, una posizione che trova sostenitori nel movimento per l’accesso aperto ma che ovviamente entra in conflitto diretto con i diritti d’autore e con il modello di business delle piattaforme di streaming. Resta da vedere quali azioni legali intraprenderà Spotify, considerando che l’archivio è già in circolazione e praticamente impossibile da rimuovere completamente una volta distribuito attraverso la rete torrent.
