Een datalek bij SoundCloud dat in december 2025 aan het licht kwam, krijgt nu pas echt duidelijke contouren. De datalekmonitor Have I Been Pwned heeft de gelekte dataset deze week opgenomen in zijn database en maakt daarmee zichtbaar hoe groot de impact daadwerkelijk is.
SoundCloud is een wereldwijd opererend audioplatform waar artiesten en luisteraars samenkomen en waar honderden miljoenen muziek- en audiotracks worden gehost.
SoundCloud meldde medio december dat het ongeautoriseerde activiteit had vastgesteld binnen zijn infrastructuur. Dit gebeurde nadat gebruikers problemen ondervonden bij het inloggen en foutmeldingen te zien kregen. Het bedrijf gaf toen aan dat het incident verband hield met een ondersteunende dienst en dat er geen gevoelige gegevens zoals wachtwoorden of betaalinformatie waren buitgemaakt. Over het aantal getroffen accounts bleef de communicatie beperkt.
Die onduidelijkheid is nu grotendeels verdwenen, blijkt uit een artikel van BleepingComputer. Have I Been Pwned stelt vast dat gegevens van ongeveer 29,8 miljoen accounts in het gelekte bestand voorkomen. Het gaat om e-mailadressen in combinatie met profielinformatie zoals gebruikersnamen, namen, avatars, volgersaantallen en in sommige gevallen het land van de gebruiker. Hoewel een deel van deze informatie openbaar zichtbaar was, zorgt de koppeling met e-mailadressen ervoor dat de dataset aantrekkelijk is voor misbruik.
Door de opname in Have I Been Pwned is het datalek publiek verifieerbaar geworden. Gebruikers kunnen controleren of hun e-mailadres onderdeel is van de gelekte gegevens, iets wat eerder niet mogelijk was. Voor beveiligingsonderzoekers en organisaties geldt hetzelfde: de omvang is nu concreet vastgesteld.
ShinyHunters oefende de aanval uit
In de achtergrond speelt dat de aanval wordt toegeschreven aan ShinyHunters dat zich richt op afpersing. SoundCloud bevestigde eerder dat aanvallers druk probeerden uit te oefenen, onder meer door grootschalige e-mailacties richting gebruikers en medewerkers. Details over eventuele onderhandelingen of verdere gevolgen zijn volgens BleepingComputer niet gedeeld.