De onderzoekers zochten uit hoe in P2P-netwerken partijen spioneren. Ze concluderen dat een deel van de gebruikers van P2P-clients  alleen maar IP-adressen van gebruikers opzuigen. Het grootste deel van deze partijen deed dat binnen 3 uur. De langzaamste monitor had 33 uur nodig.

Deze manier van indirecte monitoring levert nog geen bewijs van rechtenschending op, want het is niet verboden om deel uit te maken van zo’n netwerk. Volgens de onderzoekers schakelen de spionerende partijen vervolgens over op directe monitoring, om te zien wat het IP-adres precies allemaal deelt.

Voor hun algoritme hebben de onderzoekers een aantal factoren gecombineerd. De spionnen maken langer deel uit van een ‘swarm‘ dan de doorsnee gebruiker, hebben één poort om veel clients te draaien, blokkeren inkomende verzoeken, delen niets en maken verbinding met meerdere ‘swarms’. Volgens de onderzoekers wijst dit soort intensief torrent-gebruik erop dat het de gebruiker om informatieverzameling te doen is. De resultaten van het onderzoek werden gepresenteerd op de SecureComm conferentie in Padua, Italie.

Afzonderlijk zijn deze factoren geen bewijs dat de client informatie over ‘seeders‘ verzamelt. Zo bleek bij een eerste test dat 16 procent van de gebruikers inkomende verbindingen verbrak. Dit kan volgens de onderzoekers simpelweg betekenen dat de router verkeerd is geconfigureerd en bestanden niet ‘geseed’ worden.

In een periode van twee jaar werden op meerdere momenten meer dan duizend ‘swarms’ in de gaten gehouden. ‘Our features only detected monitors in Top 100 torrents. This implies that copyright enforcement agencies are monitoring only the most popular content on public trackers. Given that the largest potential loss in revenue would be seen in products like The Avengers being pirated, this approach makes sense. It’d be unrealistic to monitor everything at all times, but monitoring the most popular torrents should provide the greatest yield’.

Een manier die downloaders gebruiken om minder snel gesnapt te worden zijn blocklists. Deze lijsten bevatten IP-adressen van ‘seeders’ die hetzelfde bestand meerdere malen delen en dus verdacht zijn. Volgens de onderzoekers hebben deze lijsten weinig effect. De onderzoekers raden aan om blocklists te baseren op dit soort empirisch onderzoek zodat de privacy van gebruikers beter gewaarborgd is.

‘The real concern here is exactly what those six unknown firms intend to do with this data. The goal of copyright enforcement agencies is pretty clear; the goal of unknown monitors that appear to just be hoarding data is less so’, zo zegt Tom Clothia, de leider van het onderzoek.