SoundCloud-Datenleck legt 28 Millionen Konten bei ShinyHunters-Angriff offen
Von Trevor Loucks
Gründer & Leitender Entwickler, Dynamoi
SoundCloud hat einen massiven Sicherheitsvorfall bestätigt, der fast 20 % seiner Nutzerbasis betrifft und die E-Mail-Adressen und Profildaten von rund 28 Millionen Konten offengelegt hat. Obwohl die in Berlin ansässige Plattform die anfängliche Eindringung eingedämmt hat, hat der Vorfall eine chaotische Kette von Betriebsunterbrechungen ausgelöst, die für digitale Strategen und Künstlermanager Kopfzerbrechen bereiten.
Mit Stand von Dienstag, dem 16. Dezember 2025, kämpft der Dienst an zwei Fronten: der Sicherung der kompromittierten Daten und der Eindämmung von Vergeltungs-Denial-of-Service (DoS)-Angriffen. Für die Musikindustrie ist dies nicht nur eine Tech-Story; es ist ein Weckruf hinsichtlich der Fragilität der digitalen Lieferkette, die A&R-Entdeckungen und Demo-Austausch antreibt.
Die Zahl von 28 Millionen im Detail
Das Leck entstand nicht über die primäre Verbraucher-App, sondern über ein „sekundäres Dienstleistungs-Dashboard“ – ein internes Nebensystem, das wahrscheinlich für Analysen oder den Betrieb genutzt wurde. Während technische Teams die Unterscheidung vielleicht schätzen, ist das Ausmaß des Lecks erheblich.
Hier ist der Schadensbericht:
- Das Ausmaß: 20 % der aktiven Nutzer, was ungefähr 28 Millionen Konten entspricht.
- Die Offenlegung: E-Mail-Adressen und öffentliche Profildaten sind im Umlauf.
- Der Silberstreif: SoundCloud gibt an, dass Passwörter, Finanzdaten und biometrische Daten sicher geblieben sind.
Wichtige Erkenntnis: Die kompromittierten Daten beschränken sich auf Kontaktinformationen, aber im Musikgeschäft ist die E-Mail eines Künstlers ein Zugangsschlüssel. Das eigentliche Risiko besteht nun nicht im direkten Kontodiebstahl, sondern in hochgradig gezieltem Social Engineering.
ShinyHunters gegen das Dashboard
Obwohl SoundCloud den Angriff offiziell einer „mutmaßlichen Bedrohungsgruppe“ zuschreibt, haben Sicherheitsanalysten die Eindringung mit ShinyHunters in Verbindung gebracht. Diese Cyber-Erpressergang ist darauf spezialisiert, Datenbanken von digitalen Plattformen zu sammeln, um sie als Lösegeld festzuhalten.
Der Eintrittspunkt dient als entscheidende Lektion für Leiter von Label-Operationen: Die Schwachstelle des „sekundären Dienstleistungs-Dashboards“ beweist, dass eine Plattform nur so sicher ist wie ihr am wenigsten überwachtes internes Tool. Bei der Bewertung von Technologiepartnerschaften müssen Führungskräfte die Sicherheit des gesamten Ökosystems prüfen, nicht nur des verbraucherorientierten Frontends.
Die Folgen des 403-Fehlers
In einer Abwehrmaßnahme, um die Datenexfiltration zu stoppen, implementierte SoundCloud aggressive Konfigurationsänderungen, die den Zugriff über Virtuelle Private Netzwerke (VPNs) blockierten. Diese Entscheidung priorisierte die Systemintegrität vor der Konnektivität, aber der Preis war eine sofortige globale Fragmentierung.
- Die Störung: Nutzer, die auf VPNs angewiesen waren, begannen ab dem 13. Dezember mit
HTTP 403-Fehlern konfrontiert zu werden. - Die Geografie: Dies schnitt legitime Nutzer in Gebieten wie Russland, der Türkei und dem chinesischen Festland effektiv ab, wo VPNs für den Zugriff unerlässlich sind.
- Die Volatilität: Selbst nachdem der Verstoß eingedämmt war, deaktivierten Vergeltungs-DoS-Angriffe vorübergehend die Weboberfläche, was A&Rs zwang, sich auf mobile Apps und APIs zu verlassen, die stabil blieben.
Schutz der digitalen Lieferkette
Für Manager und Label-Vertreter ist die unmittelbare Bedrohung die „Phishing-Migration“. Bedrohungsakteure nutzen oft frische Datenbanken, um überzeugende E-Mails zu erstellen – sich als Tantiemen-Einzugsstellen oder DSP-Support ausgebend –, um Anmeldeinformationen für höherwertige Ziele wie Spotify for Artists oder Bankkonten zu stehlen.
Das Risiko: Manager verwenden häufig wiederverwendete Passwörter oder versäumen es, die Multi-Faktor-Authentifizierung (MFA) für Demo-Konten zu aktivieren.
Die Lösung: Gehen Sie davon aus, dass jede mit SoundCloud verknüpfte E-Mail öffentlich ist. Ändern Sie Passwörter sofort, wenn sie woanders wiederverwendet wurden, und erzwingen Sie MFA für den gesamten digitalen Fußabdruck Ihres Künstlerstamms. Darüber hinaus könnte diese Instabilität die Verschiebung der Branche weg von der Nutzung von SoundCloud für private Pre-Release-Assets beschleunigen und sensible Inhalte hin zu dedizierten B2B-Tools wie Disco oder Box drängen.
Über den Redakteur
Trevor Loucks ist der Gründer und leitende Entwickler von Dynamoi, wo er sich auf die Konvergenz von Musikgeschäftsstrategie und Werbetechnologie konzentriert. Er konzentriert sich darauf, die neuesten Ad-Tech-Techniken auf Kampagnen von Künstlern und Plattenlabels anzuwenden, damit diese das nachgelagerte Wachstum der Musiklizenzeinnahmen steigern.
