fone plugue
Foto: Ishan Manjrekar/Flickr

FYI.

This story is over 5 years old.

Tecnologia

Criei uma botnet de ouvintes falsos para destruir o Spotify

Eis minha demonstração de como o modelo de negócio do streaming de música é vulnerável.

Você sabia que pode deixar uma playlist do Spotify no mudo e no repeat à noite toda e gerar cerca de R$ 0,72 para sua banda favorita? Ou que você pode deixar uma aba do navegador aberta no Eternify o dia inteiro e dar US$2,30 para a banda?

Melhor ainda: você sabia que pode programar uma botnet em seu laptop velho para gerar US$ 30 por dia com ouvintes falsos no Spotify?

Esses bônus podem parecer inofensivos, mas eles prenunciam uma grande vulnerabilidade no modelo atual de streaming de música pela internet.

Publicidade

Peter Fillmore, um consultor de segurança de Melbourne, na Austrália, foi um dos primeiros a demonstrar em 2013 que programas automatizados podem gerar royalties em massa por meio de alguns "robôs" baseados em softwares que ouviam suas próprias músicas (comicamente horríveis) sem parar.

Fillmore fez cerca de US$1.000 em royalties e chegou ao topo das paradas australianas no serviço de streaming Rdio. Diz ele que seus motivos eram inofensivos. "Me preocupei em descobrir que mecanismos existiam para prevenir esse tipo de fraude", ele me escreveu via e-mail.

Desde que Fillmore tornou essa proeza pública, as empresas de streaming de música permaneceram em silêncio sobre a possibilidade de fraude nos cliques. Os blogueiros, entretanto, perceberam o problema. Depois de Vulfpeck embolsar US$20.000 de fãs que ouviam as músicas sem qualquer som e o Eternify ter transformado a fraude de streaming em um aplicativo, algumas pessoas levantaram a possibilidade do que poderia acontecer se botnets em larga escala transformassem esse truque de execuções falsas em um torrent.

Decidi criar o protótipo de um robô com apetite incansável por música para ver se o Spotify conseguiria detectar o que eu estava fazendo.

Eis o que eu codifiquei:

Crédito: William Bedell

Primeiro, um servidor remoto utilizou automação de navegador para se conectar em contas do Spotify com nomes, idades e e-mails gerados aleatoriamente. Isso me permitiu um suprimento ilimitado de contas para acessar músicas em streaming sem alertar o Spotify para usuários em quantidades inumanas de atividade.

Publicidade

Um servidor de comando central enviou periodicamente credenciais de login ao Spotify para servidores em nuvem (ou computadores pessoais adaptados). Tudo estava mascarado por trás de redes virtuais privadas. Cada "usuário" se conectou e ouviu seleções aleatórias de vários artistas que eu gosto. Então, ativei a botnet usando um amálgama de elementos em nuvem gratuitos e meus hardwares.

É impressionante ver as execuções se acumulando. Álbuns desconhecidos de artistas nada famosos que adoro passaram de quase nenhuma execução para milhares de plays. Com pouco esforço, gerei US$32,26 por dia em royalties. A partir daí meus pensamentos foram influenciados pela ganância: quão lucrativa seria essa fábrica de royalties se eu passasse a ouvir músicas das quais eu próprio detenho os direitos?

Dados de minha operação de escala relativamente pequena sugerem que eu poderia colocar 50 clientes do Spotify em um servidor de nuvem de 15 GB de memória da Amazon Web Services com ouvintes falsos a um custo de US$ 0,003 a US$ 0,012 centavos por música. (O custo exato depende da frequência com que os ouvintes robóticos apertam o botão "pular".)

Um relatório de royalties que recebi de um colega músico sugere que o valor que os artistas recebem por ouvintes apoiadores de publicidade é de US$ 0,08 por música (o número varia com o tempo e entre os publicadores). Isso coloca uma estimativa conservadora de taxa de retorno de streaming automatizado para cerca de 600%.

Publicidade

Esse tipo de "dinheiro mágico da internet" coloca a mineração de Bitcoins no chinelo – e não preciso explicar os muitos motivos pelos quais um músico deseja parte dos 18.000 a 144.000 acessos que um único servidor na nuvem de 15 GB pode gerar num único dia.

O streaming automatizado é um roubo lucrativo que envolve robôs se passando por humanos, porém, não encontrei muitos testes de Turing durante minha simulação. Não havia sequer um CAPTCHA ou verificação por e-mail quando criei as contas. As barreiras para entrar são mínimas.

Um representante do Spotify me garantiu que a empresa emprega tanto algoritmos computadorizados quanto revisores humanos para identificar álbuns que apresentem atividade de streaming duvidosa, mas não me disse quantos discos foram removidos por suspeita de fraude.

Temos um dado de referência: o álbum de Fillmore foi removido cerca de seis meses depois que ele começou a ouvir as músicas uma vez a cada 30 segundos (a duração mínima para acumular um pagamento por royalties) das contas premium de maior valor no Spotify. Ele suspeita que tenha sido por que os usuários reclamaram da qualidade de sua música.

É possível imaginar que, se os robôs que fazem streaming podem se aproximar do comportamento de audição dos humanos, uma operação de botnets sofisticada pode, de forma bastante plausível, enganar os algoritmos de spam do Spotify.

Por mais que eu ame a ideia de ter meu exército de robôs trabalhando e me deixando rico, minha consciência não me deixa fazer isso. Para entender os motivos, é preciso entender de onde vem esse dinheiro.

Publicidade

O modelo de negócios básico do Spotify é o seguinte: o site pega a receita total das vendas de publicidade, que somou US$ 117 milhões em 2014, e embolsa 30%. Os 70% restantes são compartilhados entre os detentores de direito, com base no número de vezes em que a música é tocada. Por exemplo, se eu detenho o direito de 10% dos streams gratuitos do Spotify durante o ano de 2014, termino o ano com 7% desses 117 milhões (subtraindo as taxas de publicação).

Ao acrescentar execuções insignificantes ao denominador dessa fórmula de compartilhamento, o streaming automatizado diminui a taxa de royalties para todos os outros detentores de direito.

Isso significa que um domador de bots estaria se infiltrado nos negócios da indústria das grandes gravadoras?

Provavelmente, não.

Os grandes selos musicais estão protegidos da fraude de streaming porque negociam um pacote de compensações bastante complexo com o Spotify e não a fórmula simples mencionada anteriormente. A Sony negocia termos que incluem adiantamentos multimilionários e "mínimos com base no usuário", que garantem taxas de royalties fixas por stream, mesmo se os bots baixarem as taxas do modelo compartilhado.

Quem perde são os peixes menores. Músicos independentes e selos pequenos que autopublicam seus trabalhos provavelmente suportarão o impacto do dano causado pelo streaming automatizado pois suas taxas de royalties são mais flexíveis. Os anunciantes também sofrem, já que pagam pelo tempo de publicidade que vai parar nos "ouvidos" de robôs.

Publicidade

Podemos prever como os royalties ficarão pequenos. O pagamento por ouvir uma música hoje excede o custo de tempo de servidor exigido. Se o streaming automatizado continuar com força, artistas independentes, que dependem de ouvintes que apoiam os anúncios, verão seus royalties encolher possivelmente ao custo de tempo de servidor (US$ 0,003 a US$ 0,012 por stream).

Nesse ponto, o streaming automatizado em nuvem poderá se tornar lucrativo – a não ser que os spammers decidam infectar fileiras de computadores com malwares que silenciariam o stream dos ouvintes falsos do Spotify sem que o usuário perceba. Esse tipo de botnet de malware é um jeito barato de imitar atividades de usuário e pode forçar o valor de um ouvinte do Spotify a baixar ainda mais se acontecer em larga escala. Hackers de verdade podem usar contas premium para reembolsos ainda mais atraentes e a mesma diminuição de valores ocorrerá no nível das contas premium.

Se quiserem proteger a lucratividade do streaming, artistas independentes e anunciantes deveriam apelar para que os serviços combatam a fraude sempre que possível. O Spotify e outros serviços podem conseguir isso levando a sério a autenticidade dos ouvintes e talvez dividindo as receitas de forma mais igualitária.

Concentrei minha pesquisa no Spotify por causa da minha familiaridade, mas a eficácia das botnets é universal. Geradores de cliques tradicionais fazem as webpages apresentarem mais tráfego do que realmente recebem e serviços de streaming de vídeo já têm a tarefa desagradável de apagar bilhões de espectadores suspeitos de suas contas.

Mas talvez ainda haja esperança para a música: perguntei aos meus amigos músicos se eles colaborariam comigo se eu tentasse liberar esse monstro no mundo do streaming visando o lucro. Eles não se mostraram interessados nesse enredo diabólico. Com sorte, eles são a amostra que importa.

Tradução: Amanda Guizzo Zampieri