Jag var en väldigt tidig Spotify-användare, tack vare en mailgrupp som jag var med i med glada entreprenörer som kände andra glada entreprenörer.
2009 var det stor Spotify-hype i Sverige, efter att tjänsten öppnat för allmänheten i oktober 2008. Jag jobbade som lärare i interaktionsdesign på dåvarande Växjö universitet och hade haft lite samarbete med Spotify runt en designövning.
En dag postade Rikard från den gamla mailgruppen bilder från när han hade varit och hälsat på en polare på Spotify. Jag hade tråkigt och drömde om de coola företagen som jag ville jobba för, och som inte låg i Växjö. Jag tittade på Rikards bilder och föreställde mig företagskulturen. Rikard hade tagit bilder på en massa ställen, till och med i serverrummet. Där är all musiken tänkte jag. Och så tänkte jag att det var konstigt att han fick plåta där – på mina gamla arbetsplatser hade det inte varit möjligt.
I bakgrunden på bilden från serverrummet såg jag några etiketter. Jag laddade ner bilden och förstorade den maximalt. Då kunde man läsa namnet på servern, typ http://s341.spotify.com.
I princip alla såna servrar ligger ju bara på det interna nätet, men the hacker spirit (som jag normalt inte har, så låt oss kalla det rastlöshet) fick mig att lägga in servernamnet i webbläsaren.
Jag fick upp en kataloglistning, så där teknisk med underkataloger med benämnda med två hexadecimala bokstäver 00 till ff. Jag blev chockad över att ha hittat något, men förstod inte vad. Jag klickade på en länk i högen och fick en likadan listning. Klickade igen, och där fanns de: mp3-filerna.
Jag minns att jag bara satt och stirrade. Jag insåg då att de förstås kunde se i sina serverloggar att mitt IP-nummer hade varit där, men jag kunde inte tänka mig att någon hade satt en speciell övervakning på en sådan server. De skulle hitta mig först senare.
Det var omöjligt att motstå frestelsen att ladda ner en fil. Den hade ett sånt där hopslumpat hexadecimalt filnamn också, men all metadata fanns med och filen var spelbar, inte krypterad.
Vad skulle jag göra? Ringa Aftonbladet och skicka dem namnet på servern, eller maila Spotify och informera om luckan?
Det tog mig trekvart att bestämma mig. Det fanns så mycket rolig musik på Spotify, ständigt tillgänglig, och om en sådan säkerhetsmiss kom ut skulle de stora skivbolagen kanske kräva att de skulle stänga ner. Och vad skulle jag vinna på saken? En artikel i Aftonbladet, och sen skulle jag bli känd som den som sabbade Spotify? Jag skulle inte ens komma i TV.
Jag hade ju haft kontakt med Spotify tidigare och mailade dem. Det tog fem minuter och sen kom det ett brev där de tackade så hemskt mycket för att jag hört av mig. Säkerhethålet var stängt.
Rikard heter egentligen något annat. /Simon
Comments
You can follow this conversation by subscribing to the comment feed for this post.