No último ano – na reta final de 2018 – muitos usuários de aplicativos de streaming de música, especialmente o Spotify e com menos força o Deezer, têm reclamado do aparecimento de artistas nas playlists e nos seus históricos de execução, como se eles próprios tivessem escutado tais músicas, quando juram que não fazem nem ideia que artistas sejam esses.
O mistério motivou uma matéria interessante da BBC, escrita por Jonathan Griffin e publicada em 25 de janeiro de 2019, tentando elucidar o caso.
O texto começa fazendo conjecturas: “músicos misteriosos surgiram no Spotify, acumulando milhares de ouvintes e (talvez) muita grana. É um fenômeno que, segundo especialistas, pode indicar uma falha de segurança. Mas enquanto o Spotify nega que as contas foram invadidas, o site de streaming de música não explicou detalhadamente como as playlists de alguns usuários indicam que ‘escutaram’ músicos de que ninguém nunca ouviu falar. Eles têm nomes como Bergenulo Five, Bratte Night, DJ Bruej e Doublin Night. Além de não serem musicalmente notáveis, eles geralmente têm algumas coisas em comum: músicas curtas com poucas ou nenhuma letra, ilustradas com capas genéricas e títulos curtos e não descritivos de músicas”.
“Curiosamente”, a matéria segue, “as bandas também têm pouca ou nenhuma presença no resto da Internet. Em tempos em que a mídia social desempenha um papel crucial na conexão de músicos e público, esses artistas não têm páginas de fãs, calendário de shows, contas de mídia social ou até mesmo fotos de músicos de verdade. Mas, de alguma forma, esses artistas misteriosos se infiltraram nas playlists do Spotify, em alguns casos acumulando milhares de ouvintes e levando usuários a especular que suas contas foram hackeadas“. Bem, veremos que há duas alternativas: ou certamente essas contas foram invadidas, ou o Spotify tem algum motivo escuso no caso.
Muitos ouvintes nunca procuraram ativamente ou tocaram faixas de bandas como Bergenulo Five, mas descobriram que a música deles acabou sendo registrada em seu histórico de execução.
Desde o meio de 2018, têm surgido em fóruns de discussões o questionamento sobre o caso. A usuária do Reddit “gravejrI” estava espantada, em agosto de 18: “semana passada, não usei o Spotify e vi na minha conta da Last.Fm que eu tenho feito streaming pacas de Lil Wayne (assim como outros artistas de hip hop que eu não conheço) e algo chamado Bergenulo Five. O aplicativo diz que ouvi no Spotify (também parece estar no Deezer) e isso soa como se fosse gerado por um bot ou algo assim. A página da Last.fm tem algumas pessoas (recentemente) achando que é spam“. Nas respostas, outros usuários se espantam igualmente, aconselhando a trocar senhas e coisas semelhantes. Aparentemente, ninguém estava imune.
A matéria da BBC solicitou ao Spotify detalhes de contato dos artistas em questão: “a empresa declinou, e todas as tentativas de contatar as bandas foram recebidas com nada diferente do que silêncio. Mas depois de alguns dias do contato da reportagem, a maioria dos artistas misteriosos havia desaparecido do site de streaming de música”.
Jonathan Griffin conta que o “Bergenulo Five é um artista típico – e bastante popular – no que pode ser chamado de gênero ‘mysterycore’. No Spotify, tinha inicialmente dois álbuns postados – ‘Sunshine Here’ e ‘Hit It Now’. A capa de cada álbum era simples: o título do álbum em texto preto sobre uma cor brilhante. E cada álbum foi embalado com mais de quarenta músicas curtas, a maioria delas apenas um ou dois minutos de duração, sem versos ou refrões, e títulos de uma só palavra: ‘Awake’, ‘Winter’, ‘Coming’. As canções de Bergenulo Five tiveram no total quase sessenta mil execuções no Spotify por usuários do site de monitoramento de música Last.Fm. E o tal Bergenulo Five não é o único. Outros ‘artistas’ também fazem parte desse ‘mysterycore’: Onxyia, Doublin Night, Dj Bruej, Cappisko, Hundra Ao, Bratte Night e Funkena”.
Quem seriam esses? Uma rápida pesquisa no Google não retorna simplesmente nada, além do próprio Spotify e, eventualmente, o Deezer e a Amazon.
A matéria da BBC segue: “as páginas de fãs do Reddit, Twitter e Last.Fm estão repletas de comentários negativos de ouvintes que notaram que, de acordo com o histórico de suas contas, eles estão ‘tocando’ as músicas do Bergenulo Five. ‘Que spam é esse?’, escreveu um. ‘Irritante’, acrescentou outro. No Reddit, Callum Dixon escreveu: ‘o mesmo Bergenulo Five continua sendo executado na minha conta e eu tentei de tudo – mudei minha senha, saí de todos os lugares. Não consigo pará-lo!’. Dixon também é formado em cibersegurança e tem uma tese sobre o caso – falando à BBC, ele sugeriu que os chamados tokens de acesso tenham algo a ver com a disseminação repentina de faixas de mysterycore“.
A explicação: “os tokens de acesso são permissões concedidas quando você usa um site ou rede social pra fazer login em outro site. Por exemplo, os usuários podem entrar no Spotify usando seu nome de usuário e senha do Facebook. É concedido um token de acesso eletrônico que vincula as duas contas e o método é geralmente seguro”.
“Isso funcionou brilhantemente bem, até o ponto em que os tokens de acesso foram violados”, diz Tim Mackey, da empresa de de segurança digital Black Duck, ao repórter. De fato, em setembro de 2018, o próprio Facebook admitiu que houve uma grotesca e ampla falha na segurança, afetando algo em torno de cinquenta milhões de contas – as pessoas foram solicitadas a inserir novamente seus dados e foi aí que, provavelmente, essas informações foram captadas. O Facebook, diante da iminência de uma queda nas ações, teve que responder rapidamente, cancelando todos os tokens de acesso. Além do mais, a empresa de Mark Zuckerberg não sabe afirmar se o ataque aos tokens de acesso resultou numa ação qualquer no Spotify antes da descoberta da invasão. O Spotify seguiu na mesma linha, dizendo que nenhuma conta do seu sistema foi comprometida.
“Mas Mackey diz que identificar exatamente o que foi roubado na violação de dados é extremamente complicado”, continua a matéria. “E quando se trata de cancelar os tokens, ‘você pode resolver uma porcentagem pequena que foi afetada'”.
“Além disso, outros especialistas em segurança apontaram problemas que os usuários do Spotify tiveram com a reutilização de senhas em sites diferentes. Os artistas mysterycore começaram a aparecer no Spotify no início de outubro de 2018, logo após o ataque ao token de acesso ter sido divulgado. No entanto, muitos usuários do Spotify só notaram que suas contas estavam registrando faixas desses artistas mais tarde, quando o site de streaming promoveu um widget que permitia aos usuários postar uma lista das faixas mais ouvidas do ano. Algumas pessoas notaram que essas bandas das quais nunca tinham ouvido falar, e muito menos ouviram, estavam entre as mais executadas por elas”, segue.
A grande questão de qualquer crime, e os cibernéticos não são diferentes, é descobrir a motivação e o objetivo. O jornalista da BBC abre uma hipótese: “o Spotify foi lançado em 2008 e, durante a maior parte da história do site, gravadoras e empresas foram responsáveis por fazer o upload das músicas. Mas em setembro de 2018, a empresa relaxou suas regras, permitindo que artistas independentes enviassem faixas diretamente pro serviço. E artistas populares são os que mais ganham royalties. Como existem várias variáveis, é difícil calcular exatamente o quanto uma execução vale, mas um especialista, Mark Mulligan, da Midia Research, disse à rádio BBC que o tal Bergenulo Five poderia ter ganho entre US$ 500 e US$ 600 remunerados a partir das sessenta mil execuções”.
O caso é que o Spotify não diz se realmente pagou algum dinheiro pros artistas misteriosos – transparência não é a maior virtude da empresa. E também não deu nenhuma informação sobre quem “forçou” os usuários a tocarem as músicas dos artistas misteriosos.
“Levamos muito a sério a manipulação artificial da atividade de streaming em nossos serviços”, disse a empresa em um comunicado bastante protocolar, que a BBC reproduziu. “O Spotify toma várias medidas de monitoramento pra detectar, investigar e lidar com esse tipo de atividade. Esses artistas foram removidos porque detectamos atividade de streaming anormal em relação ao conteúdo deles”, completou.
Na hipótese de que é uma forma de “mineração” de dinheiro, fazendo o algorítimo do serviço trabalhar a favor dos malfeitores e assim remunerar os artistas falsos, o Spotify não forneceu detalhes sobre quem poderia estar por trás e se essa é mesmo a motivação – porque há outras hipóteses a serem consideradas, hipóteses de protesto, como alguém tentando mostrar que o sistema é falho; ou como uma forma de mostrar que não importa o quanto se executa uma canção, mesmo forçosamente, o serviço paga muito pouco aos artistas; etc.
O site Brooklyn Vegan, em 6 de dezembro de 2018, abriu uma outra hipótese, essa curiosa e até mesmo engraçada: o hackeamento pode ter beneficiado o grupo de hip hop estadunidense Cannabis Club ATL.
O articulista (sem assinar) estranha: “demorei quase nada pra descobrir que o grupo de hip hop de Atlanta, que ama maconha, estava aparecendo na minha lista de mais ouvidos de 2018 no Spotify, mesmo eu tendo ouvido muito mais o Cape Cop; logo percebi que provavelmente estava relacionado a esse hack. Curioso, voltei a usar o Google e, na verdade, não fui o único cujo hacker tinha uma queda pelo Cannabis. Não sou especialista em Spotify, mas se os verdadeiros hackers estavam distribuindo as informações da conta pra pessoas interessadas em usar o Spotify gratuitamente, quais são as chances de que todas essas pessoas quisessem ouvir o Cannabis Club ATL? Obviamente, parece mais provável que o Cannabis Club ATL tenha sido o favorito de um hacker cujo objetivo era causar o caos, ou que, de fato, havia alguma motivação pra aumentar a contagem de um determinado artista. Percebo que há uma controvérsia em torno de quanto dinheiro um artista realmente faz com streaming, mas parece seguro assumir que o Cannabis Club ATL fez mais dinheiro do que teria este ano graças a mim e ao hacker (que invadiu a minha conta e de outros)”.
O Cannabis Club ATL é um grupo que realmente existe, mas essa suposição maluca do site em atrelar tais invasões ao artista é só isso, uma suposição (afinal, o artigo não se aprofunda em investigações), embora faça sentido alguém de verdade querer lucrar dessa forma, mesmo que seja por algumas poucas centenas de dólares – o que só reforça a tese de que pode ser alguma espécie de protesto. Nenhuma das hipóteses, entretanto, fica bem pros serviços de streaming, que certamente precisam melhorar seus métodos de segurança e remuneração.
Enquanto não se descobrir quem está por trás disso, nomes como Bergenulo Five e Hundra Ao vão continuar um mistério, mesmo sabendo-se que existe alguém responsável por compor, tocar e gravar essas misteriosas peças musicais. Algum crédito essa pessoa (ou pessoas) tem. Mesmo que possa acabar usufruindo desses créditos na cadeia.