Один із найбільших музичних стримінгових сервісів зазнав витоку даних: 30 мільйонів постраждалих

Олександр Гайдамашко

Основні тези

На популярній аудіоплатформі SoundCloud стався витік даних, що торкнувся 30 мільйонів користувачів, через автоматизований процес зіставлення даних.
Хоча паролі та платіжні реквізити не були скомпрометовані, хакери отримали доступ до приватних контактних даних, що може спричинити ризики соціальної інженерії та фішингових атак.

Витік даних SoundCloud розкрив інформацію майже 30 мільйонів користувачів

Витік даних SoundCloud зачепив майже 30 мільйонів облікових записів / Depositphotos

Наприкінці 2025 року популярна аудіоплатформа опинилася в центрі серйозного кіберінциденту. Як тепер повідомляють профільні ЗМІ та експерти з кібербезпеки, у мережі з’явився масив даних, який пов’язує приватні контактні відомості користувачів із публічними профілями. Хоча мова не йде про класичний злам, наслідки цього витоку можуть бути не менш небезпечними.

Як саме відбувся витік і чому він небезпечний?

Уперше проблему виявили ще в грудні 2025 року, коли команда SoundCloud зафіксувала нетипову активність у своїй інфраструктурі. Це не був прямий доступ до внутрішніх баз даних чи компрометація серверів. Зловмисники скористалися особливостями роботи платформи, які дозволяли перевіряти, чи пов’язана конкретна електронна адреса з певним публічним профілем, пише Cyber Press.

Дивіться також Шахраї розсилають повідомлення з реальної адреси Microsoft: як вони це роблять

Фактично йдеться про автоматизований процес зіставлення та перерахування даних, який у сфері кібербезпеки називають enumeration або scraping. За допомогою скриптів хакери змогли зіставити електронні адреси з відкритою інформацією профілів приблизно двадцяти відсотків усієї аудиторії сервісу. У підсумку було зібрано близько 29,8 мільйона унікальних записів.

Після формування бази даних зловмисники спробували тиснути на компанію, вимагаючи викуп за нерозголошення інформації. Коли SoundCloud відмовився виконувати ці вимоги, масив даних опинився у відкритому доступі в січні 2026 року.

Які ризики несе витік?

У витоку немає паролів або платіжних реквізитів, однак ризик полягає в іншому. До кожної електронної адреси часто додається ім’я користувача, відображуване ім’я, посилання на аватар, кількість підписників, підписок, а в окремих випадках і країна проживання. Такий контекст дозволяє легко деанонімізувати людей і створювати переконливі сценарії соціальної інженерії.

Небезпека полягає в тому, що шахраї можуть надсилати листи, які виглядають максимально правдоподібно. Наприклад, повідомлення нібито від служби підтримки SoundCloud з посиланням на профіль, реальною аватаркою або згадкою про кількість підписників. У таких умовах користувачеві значно складніше відрізнити фішинг від справжнього сервісного листа.

Перевірте, чи є ви у витоку

Окрему увагу на інцидент звернув сервіс сповіщення про витоки даних Have I Been Pwned, який проіндексував базу 27 січня 2026 року. Це означає, що користувачі вже можуть перевірити, чи потрапила їхня адреса до списку скомпрометованих.

Дивіться також Менеджер паролів LastPass зламали ще у 2022 році, але жахливі наслідки відчутні й досі

Чому ризик дуже високий?

Експерти з безпеки наголошують, що навіть без паролів такі витоки часто стають відправною точкою для атак із підбором облікових даних на інших сервісах. Якщо людина використовує одну й ту саму електронну адресу та схожі паролі на різних платформах, ризики зростають у рази. Саме тому рекомендується мати унікальні паролі для кожного сервісу та активувати багатофакторну автентифікацію всюди, де це можливо.