Der Cybersecurity-Forscher Karol Paciorek hat sich mit betrügerischen Inhalten auf Spotify befasst und seine Ergebnisse auf dem X veröffentlicht. Er stellt fest, dass Cyberkriminelle „Spotify für die Verbreitung von Malware“ nutzen, wie er schreibt.

Auch den Grund dafür liefert er mit: „Spotify hat einen guten Ruf und seine Seiten werden von Suchmaschinen leicht indiziert, was es zu einer effektiven Plattform für die Verbreitung von bösartigen Links macht.“

Spotify reagiert bei Kenntnis relativ prompt, wie ein Sprecher gegenüber 404 Media betont: „Die Plattformregeln von Spotify verbieten das Posten, Teilen oder Bereitstellen von Anleitungen zur Implementierung von Malware oder verwandten bösartigen Praktiken, die darauf abzielen, Computer, Netzwerke, Systeme oder andere Technologien zu schädigen oder unbefugten Zugriff darauf zu erhalten.“

Laut Bleeping Computer ist Piraterie ein weitverbreitetes Problem auf der gesamten Streaming-Plattform. So seien etwa „Vbucks-Generatoren“, mit denen man in Fortnite mehr Spielwährung erhalten kann, überall auf Spotify zu finden.

Auch Websites mit „Lizenzschlüssel-Cracks“, die Lizenzschlüssel für raubkopierte Software liefern, seien leicht auf Spotify in Form von Podcast-Episoden und Wiedergabelisten zu finden. Laut Paciorek werden Spotify-Links besonders gerne von Suchmaschinen indiziert.

Das führe dazu, dass diese Angebote über Google leicht gefunden werden können, selbst wenn Spotify die Schlüsselwörter für die Suche blockiert. Dies ist möglich, weil Spotify neben den mobilen und Desktop-Apps auch eine Web-Player-Version unter open.spotify.com anbietet. Die über diesen Webplayer verfügbaren Wiedergabelisten und Podcasts werden, wie bei jeder Website, von Suchmaschinen wie Google indexiert.

So würde etwa die Suche nach den Lizenzschlüssel-Cracks deutlich zeigen, dass Spotify viele solche Links hostet. Dabei bestehe der Ton in diesen Episoden oft nur aus Rauschen oder Text-to-Speech-Ansagen, die das Anklicken des Links in der Beschreibung empfehlen.

Ein Podcast mit dem Namen „forlinks“ bestehe rein aus drei Sekunden langen „Episoden“ mit Beschreibungen, die auf türkische Glücksspielseiten verweisen. Ein Benutzer namens „soupiz“ etwa lade einfach 22 Sekunden lange Text-to-Speech-Clips hoch, die alle in gebrochenem Englisch erst etwas über Hörbücher sagen, um dann zum Anklicken des Links in der Beschreibung aufzufordern.

Dabei enthielten die Episodentitel der fragwürdigen Podcasts dieser Spam-Accounts häufig beliebte Schlüsselwörter, etwa über bekannte Tiktoker:innen oder Pornos. Das erhöhe ihre Reichweite in den Suchmaschinen zusätzlich.

Spotify beruft sich darauf, eine Reihe technischer Maßnahmen einzusetzen, um die Sicherheit der Plattform und den Schutz der Nutzerdaten zu gewährleisten. So sei jegliche Datenübertragung verschlüsselt. Es gebe eine kontinuierliche Überwachung der Plattform auf Sicherheitslücken, die von Sicherheitsfachleuten durch simulierte Angriffe aktiv gesucht würden. Zudem würden die Mitarbeiter:innen von Spotify in Schulungen regelmäßig für das Problem sensibilisiert.

Schon länger bekannt ist, dass Spotify ein Problem mit der Verbreitung von Phishing-E-Mails hat, die vorgeben, vom Streaminganbieter zu stammen. Diese E-Mails informieren Nutzer über angebliche Zahlungsprobleme oder fordern zur Aktualisierung von Kontodaten auf. Ziel der Nachrichten ist es, persönliche Daten wie Passwörter oder Zahlungsinformationen zu stehlen. Spotify selbst warnt davor, auf solche E-Mails zu reagieren, insbesondere wenn die Absenderadresse nicht mit „@spotify.com“ endet.