Spotify 数据泄露事件(Alleged Spotify Catalog Scrape):
威胁演员:Anna’s Archive(自称“pirate activist group”或“preservation archive”项目,非传统勒索软件团伙)。
受害组织:Spotify(全球领先音乐流媒体平台,拥有超过7亿用户,提供海量音乐目录)。
暴露数据类型:音乐元数据(track metadata,包括标题、艺术家、专辑、ISRC代码、流行度等)、音频文件(部分通过绕过DRM非法获取);无用户个人信息、账户凭证、支付信息或内部系统数据泄露。
受害人数影响:非用户个人数据泄露,而是音乐目录规模——约256百万条轨道元数据记录、186百万独特ISRC记录、86百万音频文件,占Spotify所有收听量的约99.6%。
事件于2025年12月左右披露,Anna’s Archive声称通过大规模抓取Spotify公开API元数据并使用非法手段绕过DRM获取音频文件,构建“音乐保存档案”。总数据量约300TB,已通过批量torrent在P2P网络分发(元数据已公开,音频文件按流行度逐步释放)。Spotify确认第三方非法抓取并绕过DRM,正在调查并加强防护措施,但强调未影响用户账户安全。事件性质更接近大规模内容抓取/盗版,而非传统黑客入侵用户数据库。