SoundCloud heeft een datalek bekendgemaakt die ongeveer een vijfde van de gebruikersbasis trof, nadat ongeautoriseerde toegang werd ontdekt op een intern servicedashboard. Het audiostreamingplatform zei dat het incident was geïdentificeerd via interne monitoringsystemen en onderzocht met ondersteuning van externe cybersecurityspecialisten. SoundCloud verklaarde dat de activiteit is ingeperkt en dat er geen bewijs is van voortdurende ongeautoriseerde toegang.
According to the company , de gegevens die tijdens het lek werden benaderd, waren beperkt tot e-mailadressen en informatie die al zichtbaar was op openbare gebruikersprofielen. SoundCloud zei dat wachtwoorden, betalingsgegevens en privéberichten niet werden vrijgegeven. Hoewel het bedrijf geen exact aantal getroffen accounts heeft verstrekt, vertegenwoordigt een vijfde van de wereldwijde gebruikersbasis miljoenen gebruikers wereldwijd.
SoundCloud meldde dat de inbreuk werd gevolgd door extra verstoring van haar diensten. Het platform kreeg te maken met distributed denial of service-aanvallen die tijdelijk de beschikbaarheid beïnvloedden. Sommige gebruikers meldden ook problemen met het bereiken van SoundCloud tijdens gebruik van virtuele privénetwerken. Het bedrijf zei dat deze problemen verband hielden met beveiligingswijzigingen die als onderdeel van de reactie zijn ingevoerd en dat er nog steeds gewerkt wordt aan het herstellen van normale toegang voor alle gebruikers.
Het bedrijf zei dat het zijn onderzoek heeft afgerond en maatregelen heeft genomen om de beveiligingspositie te versterken. Deze stappen omvatten het beoordelen van identiteits- en toegangscontroles, het verbeteren van monitoring- en detectiemogelijkheden, en het uitvoeren van audits van getroffen systemen. SoundCloud erkende dat sommige defensieve acties mogelijk kortdurende verbindingsproblemen hebben veroorzaakt, maar zei dat deze noodzakelijk waren om het platform te beveiligen.
Hoewel de blootgestelde informatie beperkt was, waarschuwen beveiligingsspecialisten dat e-mailadressen gecombineerd met openbare profielgegevens nog steeds risico’s kunnen opleveren. Dergelijke informatie kan worden gebruikt ter ondersteuning van phishingcampagnes of andere social engineering-activiteiten. Aanvallers gebruiken vaak gebroken e-maillijsten om berichten te formuleren die geloofwaardig lijken, waardoor de kans vergroot dat ontvangers met kwaadaardige inhoud omgaan.
SoundCloud adviseerde gebruikers voorzichtig te zijn met onverwachte e-mails of berichten die beweerden gerelateerd te zijn aan het platform. Het bedrijf adviseerde standaard beveiligingspraktijken, zoals het vermijden van verdachte links en het verifiëren van de bron van communicatie. Er stond dat gebruikers geen verplichting hebben om wachtwoorden te resetten als gevolg van het incident.
De openbaarmaking benadrukt de uitdagingen waarmee grote online platforms worden geconfronteerd die enorme hoeveelheden gebruikersdata beheren. Zelfs wanneer gevoelige informatie niet betrokken is, kunnen datalekken die een aanzienlijk deel van de gebruikers treffen bredere gevolgen hebben voor vertrouwen en veiligheid. SoundCloud zei dat het zijn systemen zal blijven herzien en verdere verbeteringen zal doorvoeren om het risico op soortgelijke incidenten in de toekomst te verminderen.