มีการสืบสวนเผยแพร่โดยเว็บไซต์ Billboard พบว่า Spotify เผยข้อมูลผู้ใช้แก่ค่ายเพลงเยอะเกินจำเป็นผ่านฟังก์ชั่น pre-save ที่เปิดโอกาสให้แฟนเพลงใช้ฟีเจอร์นี้บน Spotify เพื่อเข้าถึงเพลงใหม่และอัลบั้มใหม่ของศิลปินก่อนที่เพลงนั้นจะปล่อยอย่างเป็นทางการ เรียกได้ว่าเป็นฟีเจอร์ที่แฟนๆ จะได้ฟังเพลงใหม่ก่อนใคร และช่วยเพิ่มยอดสตรีมให้ค่ายเพลงด้วย
อย่างไรก็ตาม ในการใช้งานฟีเจอร์ pre-save ทาง Spotify จะต้องขออนุญาตผู้ใช้ว่าให้ค่ายเพลงสามารถเข้าถึงบัญชีของผู้ใช้ได้ แต่จากการสืบสวนพบว่า ค่ายเพลงได้ข้อมูลไปมากจนแทบจะเข้าควบคุมการใช้งานของบัญชีผู้ใช้ได้เลย เทำได้แม้กระทั่งไปเปลี่ยนรายชื่อศิลปินที่ผู้ใช้งาน follow อยู่ ซึ่งข้อมูลพวกนี้ควรจะเป็นสิ่งที่ Spotify เก็บไว้กับตัว ไม่ใช่สิ่งที่ค่ายเพลงจะเข้าถึงได้
รายละเอียดจากหน้าจอที่ Spotify อนุญาตให้ค่ายเพลงเข้าถึงคือ ติดตามข้อมูลว่าฟังเพลงอะไรบ้าง มีเพลย์ลิสต์อะไรบ้างที่เป็น public ช่วงนี้ฟังเพลงอะไรบ่อยๆ ตอนนี้ฟังเพลงอะไรอยู่ และที่น่าตกใจคือ ค่ายเพลงสามารถทำได้แม้กระทั่งเข้าควบคุมบัญชี Spotify แทนผู้ใช้งานเลย เช่น เพิ่มหรือลบเพลงออกจากไลบรารี่ แก้ไขเพลย์ลิสต์ สตรีมเพลงแทนผู้ใช้เลยก็ยังได้
Billboard เผยว่าแต่ละค่ายเพลงขอข้อมูลมากนอยไม่เท่ากัน และมีการขออนุญาตในการเข้าถึงแตกต่างกันไป โซนี่ขอเยอะสุด 16 รายการ, ส่วน Universal Music ขอ 10 รายการ และสามารถรู้วันเกิดผู้ใช้งานด้วย, Warner Music ขอ 10 รายการ สามารถควบคุมเพลย์ลิสต์ที่ผู้ใช้ตั้งค่าเป็น private ให้ด้วย
กรณีนี้เทียบได้กับตอนที่ Facebook เจอปัญหาข้อมูลหลุดซึ่งมีเหตุการณ์ใกล้เคียงกันคือ Facebook แชร์ข้อมูลส่วนตัวผู้ใช้งานกับบริษัทภายนอกโดยไม่ได้ขออนุญาตจากผู้ใช้ก่อน
ทั้ง Spotify และสามค่ายเพลงยังไม่อธิบายอะไรเพิ่มเติมถึงการสอบสวนนี้
ที่มา - Billboard
Comments
หรือว่าเหตุการณที่บัญชี Spotify ถูกแฮกได้ก็เพราะช่องโหว่ตรงนี้... วันดีคืนดีก็มีใครไม่รู้เข้ามาใน Family Plan, สั่งเล่นเพลงผ่านอุปกรณ์ที่ไม่รู้จัก กด Sign out on all devices ก็ไม่ได้ผล, Follow playlist แปลกๆเอง, โดนลบ Playlist
หนักสุดคือโดนยึดบัญชีเปลี่ยนรหัสผ่านไปเลย ผมนี่เจอมากับตัว
อ้างอิง https://community.spotify.com/t5/Accounts/My-premium-account-is-hacked-please-help/td-p/876417
และได้บัญชีคืนมาหรือยังครับ หรือย้ายไปใช้ Streaming อื่นแล้ว
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
+1 ผมก็เคยเล่น แม่มเอาไอดีผมไปเล่นเพลงอะไรก็ไม่รู้ Sign Out all devices ก็ไม่มีผลอะไร เปลี่ยนพาสก็ไม่หาย แต่ซักพักอยู่ดีๆ เหมือนพวกยอมแพ้ หายไปซะดื้อๆ
ไม่เกี่ยวกันครับ
แนะนำให้รีบเปลี่ยนรหัสครับ ถ้าเปลี่ยนรหัสแล้วและมั่นใจว่าไม่ซ้ำกับเว็บอื่น ไม่มีทางโดนแน่นอนครับ
ส่วนใหญ่พวกนี้ทำไปเพื่อเอาบัญชี Family Plan ไปขายต่อครับ มักขายกันราคา $1-2 โดยจะใช้ฐานข้อมูลที่รั่วจากเว็บต่างๆ (ครั้งที่รู้จักกันดีคือ Adobe)
เช็คจากตรงนี้ได้เลยครับ haveibeenpwned.com ถ้ารั่วก็รีบเปลี่ยนรหัส ไม่รั่วก็อย่าพึ่งวางใจ เพราะบางครั้งฐานข้อมูลก็รั่วโดยที่ไม่มีใครรู้ตัวก็มีครับ
เทำได้แม้กระทั่ง --> ทำได้แม้กระทั่ง
สามารถแก้ไขการติดตามของ user ได้นี่ เกินไปมาก ๆ
มากนอย => มากน้อย
การเก็บพฤติกรรมผู้ใช้มากๆ ศิลปินได้ประโยชน์ไหมคะ เฉพาะศิลปินนะไม่นับถึงค่ายเพลง ดิฉันยินดีให้เก็บข้อมูลมากเท่าที่มากได้เพื่อการจัดเพลย์ลิสที่ตรงจริตค่ะ แต่เข้าถึงไอดีดิฉันเหมือนเป็นเจ้าของนี่เกินไปจริงๆ และอยากให้ศิลปินเลิกขายเพลงเป็นแผ่น CD ค่ะ อยากให้ขายเป็น flash drive แทน
เป็นประโยชน์กับบางเจ้าครับ บางเจ้าก็รายงานข้อมูลให้ศิลปิน บางเจ้าก็ไม่รายงานครับ