Un ricercatore di sicurezza ha scoperto a fine gennaio che su alcuni gruppi Telegram erano in vendita le chiavi DRM di NOW, il servizio di streaming offerto da Sky. Molti utenti in Italia, Germania e Regno Unito hanno visto film, serie TV e sport senza pagare nulla. L’azienda ha cambiato le chiavi solo all’inizio di giugno, quindi dopo oltre quattro mesi dalla segnalazione.
NOW gratis per mesi o anni?
Sky e altri provider investono molte risorse per contrastare la pirateria. La maggioranza degli accessi illegali ai servizi di streaming avviene tramite IPTV (il famoso “pezzotto” in Italia). Il ricercatore di sicurezza ha invece scoperto che la visione gratuita era possibile senza IPTV.
Il ricercatore ha cercato di scoprire se le chiavi DRM della tecnologia Microsoft PlayReady (usata per proteggere lo streaming in Italia e Germania) fossero state ottenute sfruttando una vulnerabilità. Ha quindi contattato il proprietario di un canale Telegram per chiedere informazioni, ma non ha ricevuto nessun dettaglio. Il venditore ha però fornito come prova una chiave funzionante per vedere il canale italiano Sky Sport 24.
Tutti i pacchetti di NOW in Italia, Regno Unito e Germania erano venduti a 2.000 dollari. Il ricercatore ha contattato uno sviluppatore Sky su LinkedIn a fine gennaio, ma non ha ricevuto risposta. Ciò è avvenuto solo dopo la pubblicazione del problema sul repository GitHub di BSkyB. Il ricercatore è stato contattato via DM su Twitter e via email. Sky ha ringraziato il ricercatore per la segnalazione, chiedendo di rimuovere il post da GitHub.
Nonostante l’invio di altre email con maggiori dettagli sul problema (le chiavi erano in realtà quelle di Google Widevine), Sky non ha fatto nulla per impedire la visione gratuita del servizio. La scorsa settimana il ricercatore ha pubblicato su GitHub i link diretti a tutti i canali NOW e le chiavi DRM che consentivano la visione gratuita con Microsoft Edge. I link sono stati rimossi, ma non è noto se il problema è stato risolto.