Hackers roubaram informações pessoais e de contato de mais de 29,8 milhões de contas do SoundCloud após invadir os sistemas da plataforma de streaming de áudio.
Fundado em 2007 como uma plataforma para artistas, o SoundCloud hoje oferece acesso a mais de 400 milhões de faixas de mais de 40 milhões de músicos ao redor do mundo.
A empresa confirmou o ataque em 15 de dezembro, após diversos usuários relatarem dificuldades para acessar o serviço, recebendo erros "403 Forbidden" ao tentar se conectar via VPN.
Na ocasião, o SoundCloud informou que ativou seus protocolos de resposta a incidentes após identificar atividade não autorizada envolvendo um serviço administrativo complementar.
“Entendemos que um suposto grupo de agentes maliciosos acessou determinados dados limitados que possuímos”, disse a empresa.
“Concluímos a investigação sobre os dados afetados e nenhuma informação sensível (como dados financeiros ou senhas) foi acessada.
Os dados envolvidos consistem apenas em endereços de e-mail e informações já visíveis em perfis públicos do SoundCloud.”
Embora não tenha divulgado detalhes adicionais, o ataque atingiu cerca de 20% dos usuários, o que corresponde a aproximadamente 28 milhões de contas, com base nas cifras oficiais da plataforma.
Posteriormente, o SoundCloud publicou um comunicado de segurança confirmando essas informações.
Após o ataque, descobriu-se que o grupo de extorsão ShinyHunters estava por trás da invasão e tentou chantagear o SoundCloud.
A empresa confirmou essa informação em uma atualização de 15 de janeiro, afirmando que os criminosos “fizeram demandas e utilizaram táticas de inundação de e-mails para assediar usuários, funcionários e parceiros.”
Embora o serviço ainda não tenha divulgado o total exato de usuários afetados, a plataforma de notificação de vazamentos Have I Been Pwned revelou na segunda-feira que a violação atingiu 29,8 milhões de contas.
Segundo o relatório, foram extraídos dados como endereços de e-mail, localização geográfica, nomes, nomes de usuário e estatísticas dos perfis.
“Em dezembro de 2025, o SoundCloud anunciou ter identificado atividade não autorizada em sua plataforma.
O incidente permitiu ao invasor correlacionar dados públicos dos perfis com endereços de e-mail de aproximadamente 20% dos usuários”, informou o Have I Been Pwned.
“Os dados comprometidos incluem 30 milhões de e-mails únicos, nomes, nomes de usuário, avatares, números de seguidores e seguidos, além do país do usuário em alguns casos.
Os atacantes também tentaram extorquir o SoundCloud antes de divulgar os dados publicamente no mês seguinte.”
Na semana passada, o grupo ShinyHunters também assumiu responsabilidade por uma série de ataques de voice phishing direcionados a contas Single Sign-On (SSO) de empresas como Okta, Microsoft e Google.
Essas ações podem permitir que criminosos acessem plataformas corporativas SaaS e roubem dados para extorsão.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...