Nowa funkcja Spotify może ujawniać dane użytkowników

Niedawno na Spotify pojawiła się nowa funkcja – wiadomości. Ma ona uczynić aplikację bardziej społecznościową i umożliwić użytkownikom kontaktowanie się na platformie. Wysyłanie wiadomości jest dostępne dla użytkowników wersji Free i Premium w niektórych krajach, pod warunkiem że ukończyli oni 16 rok życia.

TLDR:

• Nowa funkcja Spotify – wiadomości – mająca uczynić z aplikacji platformę społecznościową, pozwala na znalezienie kont osób, które kliknęły wysłany przez nas link, jak również osób, których link otworzyliśmy.
• Dzieje się tak przez stosowane w linkach parametry śledzące, przypisujące łącza do konkretnych użytkowników. Choć to powszechna praktyka, nowością jest udostępnienie tych powiązań użytkownikom.

Oprócz zastanawiającej koncepcji samych wiadomości w aplikacji do streamingu muzyki, obawy budzi także potencjalne ryzyko dla prywatności użytkowników, które niesie za sobą nowa funkcja. Okazuje się, że w ramach społecznościowych mechanizmów Spotify wyświetla użytkownikowi profile osób, które sugeruje mu dodać do znajomych. Pojawiły się jednak sygnały użytkowników, że w tych sugestiach widzą osoby, których co prawda nie znają, ale udostępnili im kiedyś link do utworu bądź playlisty.

Główny problem polega na tym, że użytkownicy często udostępniają takie linki np. na kanałach Discord (gdzie korzystają z pseudonimu), a na profilu Spotify mają swoje prawdziwe imię i nazwisko, a nawet zdjęcie. Możliwość wysyłania linków nigdy nie sugerowała, że wiążą się one z ujawnieniem informacji o swoim profilu. Bardziej techniczni użytkownicy mogli się oczywiście domyślić, że w takim linku jest parametr – identyfikator śledzący, na podstawie którego Spotify gromadzi dane o konkretnych udostępnieniach, kliknięciach itp.

Linki tworzone są w schemacie:

https://open[.]spotify[.]com/track/<ID_UTWORU>?si=<ID_LINKU>

przez ID zawarte w linku następuje powiązanie dwóch użytkowników. Ten identyfikator jest przypisany do autora linku (osoby, która kliknęła udostępnij) oraz do każdego, kto taki link otworzy (będąc zalogowanym w przeglądarce).

Jest to mechanizm powszechnie stosowany w social mediach. Nikt jednak nie przypuszczał, że dostęp do tych informacji pośrednio otrzyma każdy użytkownik. Aktualnie wszystko wskazuje na to, że każdy, kto kliknął wysłany przez nas link, może potencjalnie znaleźć nasz profil. Oczywiście otwarcie linku musiało nastąpić w zalogowanej do Spotify przeglądarce, a sam użytkownik musi mieć dostęp do wiadomości.

Niewiele osób klika w linki do Spotify nie będąc zalogowanym, bo platforma mocno limituje funkcje dostępne dla niezarejestrowanych użytkowników. Wymogi, by potencjalnie pozyskać czyjeś dane, wcale nie są więc wygórowane.

Spotify na stronie wsparcia informuje, że można blokować innych użytkowników, jak również całkowicie zrezygnować z wiadomości, włączając odpowiednie opcje w ustawieniach.

Oprócz rezygnacji z wiadomości warto rozważyć instalację wtyczki ClearURLs. O ile rozszerzenia do przeglądarek mogą – wykorzystując swoje uprawnienia – poważnie szkodzić użytkownikom, o tyle ten dodatek jest otwartoźródłowy i można łatwo zweryfikować, co robi w tle. Wtyczka automatycznie usuwa parametry śledzące z linków wielu serwisów i aplikacji.

Warto też zastanowić się, czy nie umieszczamy na kontach w różnych usługach zbyt wielu informacji o sobie. Rozsądne zarządzanie danymi na swoich profilach również pozwala zminimalizować skutki wykorzystania opisywanej funkcji przez potencjalnego atakującego.

My natomiast tę informację nie omieszkamy wykorzystać i uzupełnić w naszym szkoleniu z poszukiwania informacji, czyli Narzędziownik OSINT, na którego zapisać można się tutaj: https://sklep.securitum.pl/narzedziownik-osint-2025

Źródła: androidauthority.com

~Tymoteusz Jóźwiak