Etwas (sehr) late to the party, aber:
Das mit dem Nachweisen von Downloads könnte tatsächlich gar nicht mal so schwierig sein.
Angenommen, auch wenn in der SO-Software selbst nichts geloggt wurde: Um als Premiumnutzer eine Datei zu laden, haben Software wie JDownloader, pyLoad und co. die API unter „api.share-online.biz“ benutzt. Ein entsprechender Download-Request bestand aus einem relativ simplen HTTP GET, welches als Parameter Nuzernamen, Passwort und die ID der zu downloadenden Datei hatte. Daraufhin gab’s ne URL samt Token zurück, die auf den jeweiligen Downloadserver verwiesen hat.
Siehe z.B. hier unter der Funktion handle_premium. Das ist die (jetzt ehemalige) Implementierung um von SO via pyLoad runterzuladen. JDownloader macht’s iirc ähnlich, nur ist der Code da deutlich mehr Spaghetti.
Wenn die jetzt auf ihrer API eine access.log (wenn vielleicht auch mit Logrotation) durch den Webserver schreiben haben lassen, würde das bedeuten, dass sie neben Nutzername und Datei sogar Passwörter mitgeloggt hätten. Solche access logs werden normalerweise per default erstellt, es sei denn, jemand schaltet das explizit aus.
Wären dann halt wirklich tausende (wenn nicht sogar zehntausende) solche Lines in den Logs pro Tag:
http://api.share-online.biz/account.php?username=myuser&password=mypassword&act=download&lid=fileid
Nur Spekulation, natürlich. Aber gerade in dem Fall ließe sich es super automatisieren, um zu schauen, welcher Account was geladen hat.