Komoly adatvédelmi incidens rázta meg a SoundCloudot, miután kiderült, hogy csaknem 30 millió felhasználói fiókhoz köthető adat került illetéktelenek kezébe. A Have I Been Pwned adatai szerint összesen 29,8 millió érintett fiókról van szó, ami a szolgáltatás teljes felhasználói bázisának nagyjából egyötödét jelenti. A SoundCloud december közepén erősítette meg a betörést, miután sok felhasználó arról számolt be, hogy nem tudta elérni a szolgáltatást, és VPN használata mellett 403-as tiltási hibákat tapasztalt. A cég szerint az incidens egy külső, kiegészítő szolgáltatás vezérlőfelületét érintette, ahol illetéktelen hozzáférést észleltek.
A vállalat hangsúlyozta, hogy jelszavakhoz, pénzügyi adatokhoz vagy más különösen érzékeny információkhoz nem fértek hozzá a támadók. Az érintett adatok e-mail címekből, valamint a felhasználók nyilvános SoundCloud-profiljain egyébként is látható információkból álltak. Ennek ellenére az adatcsomag lehetővé tette, hogy a támadók az e-mail címeket konkrét profilokhoz kössék, ami célzott visszaélésekhez is alapot adhat.
A BleepingComputer értesülései szerint a támadás mögött a ShinyHunters nevű zsaroló csoport áll, amely az adatszivárgást követően megpróbálta megzsarolni a SoundCloudot. A cég egy január közepi frissítésben megerősítette, hogy a támadók követeléseket fogalmaztak meg, valamint e-mail árasztással zaklatták a felhasználókat, az alkalmazottakat és a partnereket is. Bár a SoundCloud szerint nem történt klasszikus értelemben vett fiókfeltörés, a kiszivárgott adatok így is komoly kockázatot jelentenek. Az e-mail címek és profiladatok összekapcsolása megkönnyítheti az adathalász támadásokat, célzott spamkampányokat vagy további zsarolási kísérleteket.
Az eset újabb figyelmeztetés arra, hogy még akkor is érdemes óvatosnak lenni, ha egy szolgáltató szerint nem kerültek ki jelszavak vagy bankkártyaadatok. A felhasználók számára ilyenkor különösen fontos a gyanús e-mailek kezelése, valamint annak ellenőrzése, hogy az adott e-mail cím szerepel-e már ismert adatlopások listáján. A SoundCloud ügye jól mutatja, hogy egy látszólag korlátozott adatszivárgás is komoly következményekkel járhat a digitális biztonság szempontjából.