Το SoundCloud επιβεβαίωσε ένα περιστατικό ασφαλείας που περιλαμβάνει μη εξουσιοδοτημένη πρόσβαση σε δεδομένα χρηστών, αποκαλύπτοντας ότι οι χάκερ διέφυγαν διευθύνσεις email και πληροφορίες δημόσιου προφίλ από περίπου το 20% της βάσης χρηστών του.
Η εταιρεία αποκάλυψε την παραβίαση σε μια ανάρτηση ιστολογίου διαφάνειας στις 15 Δεκεμβρίου 2025, τονίζοντας ότι δεν παραβιάστηκαν ευαίσθητες πληροφορίες όπως κωδικοί πρόσβασης ή οικονομικές λεπτομέρειες. Η πλατφόρμα διαβεβαίωσε τους χρήστες ότι το ζήτημα έχει επιλυθεί πλήρως χωρίς συνεχείς κινδύνους για τη διαθεσιμότητα της υπηρεσίας.
Το SoundCloud εντόπισε ύποπτη δραστηριότητα σε έναν πίνακα εργαλείων βοηθητικής υπηρεσίας, ενεργοποιώντας πρωτόκολλα άμεσης απόκρισης συμβάντων. Οι ομάδες ασφαλείας περιόρισαν την παραβίαση γρήγορα και στρατολόγησαν τρίτους εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας για ιατροδικαστική έρευνα.
Μετά τον περιορισμό, η πλατφόρμα αντιμετώπισε δύο επιθέσεις άρνησης υπηρεσίας (DDoS) που διέκοψαν για λίγο την πρόσβαση στον ιστό, αν και οι υπηρεσίες κινητής τηλεφωνίας και API παρέμειναν λειτουργικές.
Μια υποτιθέμενη ομάδα απειλών αξιοποίησε την αρχική πρόσβαση, αλλά η έρευνα του SoundCloud επιβεβαίωσε ότι η διήθηση ήταν περιορισμένη. «Είμαστε βέβαιοι ότι οποιαδήποτε πρόσβαση στα δεδομένα SoundCloud έχει περιοριστεί», η εταιρεία δηλωθείς.
Η παραβίαση εξέθεσε μη ευαίσθητα δεδομένα που είναι ήδη ορατά σε δημόσια προφίλ, ελαχιστοποιώντας την πιθανή βλάβη. Εδώ είναι μια ανάλυση:
| Αποψη | Καθέκαστα |
|---|---|
| Δεδομένα που επηρεάζονται | Διευθύνσεις email; πληροφορίες δημόσιου προφίλ |
| Επιπτώσεις χρήστη | ~20% των χρηστών SoundCloud |
| Ευαίσθητα δεδομένα που χάθηκαν | Κανένα (χωρίς κωδικούς πρόσβασης, οικονομικά στοιχεία) |
| Διακοπή εξυπηρέτησης | Προσωρινή διακοπή λειτουργίας ιστού (σχετικά με DDoS) |
| Διαρκής κίνδυνος | Κανένας; πλήρως περιέχεται |
Δεν περιλαμβάνονταν διαπιστευτήρια ή λεπτομέρειες πληρωμής, μειώνοντας τους κινδύνους όπως εξαγορές λογαριασμών ή οικονομική απάτη.
Σε συνεργασία με ειδικούς, το SoundCloud ενίσχυσε τις άμυνες ενισχύοντας την παρακολούθηση, την ανίχνευση απειλών, τους ελέγχους πρόσβασης ταυτότητας και τον έλεγχο των σχετικών συστημάτων. Αυτές οι αναβαθμίσεις προκάλεσαν παροδικά προβλήματα συνδεσιμότητας VPN για ορισμένους χρήστες, τα οποία οι ομάδες επιλύουν.
Η εταιρεία δίνει προτεραιότητα στο απόρρητο των χρηστών, υποσχόμενη συνεχείς ενημερώσεις. Προτρέπει σε επαγρύπνηση κατά του phishing, προτείνοντας έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και παρακολούθηση για ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου.
Αυτό το περιστατικό υπογραμμίζει τους επίμονους κινδύνους για τις δημιουργικές πλατφόρμες, όπου τα δημόσια δεδομένα μπορούν να τροφοδοτήσουν στοχευμένο ηλεκτρονικό ψάρεμα. Καθώς οι επιθέσεις ransomware και εφοδιαστικής αλυσίδας εξελίσσονται, οι υπηρεσίες ροής μουσικής αντιμετωπίζουν έντονο έλεγχο. Η προληπτική αποκάλυψη του SoundCloud ευθυγραμμίζεται με τις βέλτιστες πρακτικές της CISA και του NIST, αποτρέποντας πιθανώς μεγαλύτερες επιπτώσεις.
Οι χρήστες θα πρέπει να πραγματοποιούν σάρωση για θέλγητρα phishing που ισχυρίζονται “ειδοποιήσεις SoundCloud” και να ενεργοποιούν το MFA όπου είναι δυνατόν. Το SoundCloud εντάσσεται στις πρόσφατες παραβιάσεις σε πλατφόρμες όπως οι ανταγωνιστές του Spotify, υπογραμμίζοντας την ανάγκη για ισχυρή ασφάλεια βοηθητικών υπηρεσιών.
Αυτή η ίδια ομάδα έχει συνδεθεί με άλλες παραβιάσεις υψηλού προφίλ πρόσφατα, συμπεριλαμβανομένου ενός αναφερόμενου περιστατικού που αφορά το PornHub.
