SoundCloud, aproape 30 de milioane de conturi expuse: cum a ajuns „publicul” să fie legat de e-mail și de ce te afectează
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/01/SoundCloud.jpg)
Când auzi că o platformă a avut o breșă, primul gând e, de obicei, la parole furate sau carduri compromise. În cazul SoundCloud, povestea e mai perfidă: nu vorbim despre parole sau date financiare, ci despre o „lipire” între adresele de e-mail și informații de profil care erau, separat, vizibile public. Iar combinația asta e exact ce le trebuie escrocilor ca să te țintească mai precis.
Pe 27 ianuarie 2026, serviciul de notificare a breșelor Have I Been Pwned a publicat amploarea incidentului: 29,8 milioane de conturi afectate. Datele includ e-mailuri și detalii de profil (nume, username, locație/country în unele cazuri, avatar, statistici de followeri).
În culise, cazul a fost legat de gruparea ShinyHunters și de o tentativă de extorcare, cu tactici de hărțuire precum „email flooding”.
Ce s-a întâmplat, concret, și de ce cifra e uriașă
SoundCloud a confirmat incidentul pe 15 decembrie 2025, după ce utilizatori au raportat probleme de acces și erori 403 („Forbidden”), mai ales când se conectau prin VPN. Compania a spus că a detectat activitate neautorizată legată de un „ancillary service dashboard” și că a declanșat procedurile interne de răspuns la incidente.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/e3368a77cb187ceb719b1cfae6d750d8-t.jpg)
Deși platforma nu a intrat atunci în detalii tehnice, mesajul-cheie a fost acesta: nu au fost accesate parole sau date financiare, ci doar adrese de e-mail și informații deja vizibile pe profilurile publice. Totuși, pe 27 ianuarie 2026, Have I Been Pwned a clarificat dimensiunea: 29,8 milioane de conturi (aproape 30 de milioane) și câmpuri care merg dincolo de „doar e-mail”, incluzând username, nume, avatar și statisticile de profil.
Important: chiar dacă unele date erau publice, ele nu erau neapărat „ușor de legat” de adresa ta de e-mail. Acesta e miezul incidentului: atacatorul a reușit să mapeze profilul public la e-mail, iar asta transformă un set aparent banal de informații într-o listă de ținte gata de folosit în campanii de fraudă.
De ce te poate lovi, chiar fără parole furate
Când e-mailul tău e „lipit” de username, de nume și de indicatori precum numărul de followeri, atacurile devin personalizate. Un mesaj care îți spune „Salut, [username], contul tău de artist e în pericol” are șanse mai mari să te prindă decât un spam generic. Iar dacă apar și indicii geografice (țara, în unele cazuri), escrocul poate calibra limba, fusul orar și pretextele.
Aici intră în joc și fenomenul de phishing și, tot mai des, vishing (phishing prin apeluri). O bază de date cu aproape 30 de milioane de e-mailuri asociate cu identități publice e un teren excelent pentru „pretexting”: „Suntem de la suport, confirmă-ți contul”, „Ai primit un copyright strike, apasă aici”, „Trebuie să-ți recuperezi accesul”. În multe astfel de scenarii, nu au nevoie de parola ta din start – au nevoie doar să ți-o smulgă printr-un link sau să te convingă să instalezi ceva.
În plus, incidentul a fost asociat cu ShinyHunters, un nume care apare recurent în discuții despre scurgeri de date și extorcare, inclusiv în contextul campaniilor de „voice phishing” care vizează conturi SSO.
Ce ai de făcut acum, dacă ai cont pe SoundCloud
În primul rând, verifică dacă e-mailul tău apare în baza Have I Been Pwned. Dacă rezultatul îți arată expunerea, tratează adresa ta ca fiind „listată” pentru spam și atacuri targetate: devii mai atent la mesaje despre „resetare”, „verificare cont”, „drepturi de autor”, „abonament expirat”.
Apoi, chiar dacă SoundCloud spune că parolele nu au fost accesate, schimbă parola contului dacă o refolosești în alte locuri. Refolosirea e exact punctul slab: o scurgere de e-mailuri poate duce la atacuri de tip credential stuffing pe alte servicii, unde ai aceeași parolă. Ca rutină, folosește reguli de bază pentru parole (unice, lungi, generate) și activează 2FA oriunde ai opțiunea.
În paralel, ajustează-ți expunerea publică: dacă ai setări care permit indexarea ușoară a profilului sau afișarea unor detalii pe care nu le folosești, limitează-le. Nu rezolvă retroactiv ce s-a scurs, dar reduce „suprafața” pentru următoarea campanie de inginerie socială.
De ce cazul SoundCloud e un semnal de alarmă pentru platforme
Pe hârtie, „doar e-mail + date publice” poate suna ca o breșă minoră. În practică, e o lecție despre cum agregarea schimbă complet riscul: două seturi de date „nepericuloase” separat devin valoroase împreună. Din motivul ăsta, multe companii tratează astăzi chiar și „metadatele” ca sensibile, mai ales când pot fi corelate.
Pentru utilizatori, episodul e încă un motiv să urmărești regulat alertele despre breșe de date și să nu amâni măsurile simple: parole unice, 2FA, vigilență la mesaje „urgent”, și refuzul de a oferi date la telefon sau pe linkuri primite pe e-mail, chiar dacă par perfect personalizate.
În final, cifrele sunt cele care pun totul în perspectivă: 29,8 milioane de conturi înseamnă o piață uriașă pentru spam și fraudă, iar „maparea” profilului la e-mail e genul de detaliu care face diferența între un atac ratat și unul reușit.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/dcfefb642b07bced5f435c98e776ae3a-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/17f7be969c9155d0f9076e1516352a3a-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/2e308f8ebe96a9452dab92a81822ad91-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/59c06e326a4d8316a6e1887333f3756d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/b905ad9fe3a3d1aaf225b425487b4b18-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/2491770cd6c017264174a39c4810c33e-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/4a496b4ab33f4760612981965da815d4-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/a2b4b7b9fbd8f37608e147347361fed7-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Munca-de-acasa.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/De-ce-nu-poate-Romania-sa-doboare-toate-dronele-rusesti-care-ii-incalca-spatiul-aerian.-Ce-sisteme-de-aparare-avem-in-prezent.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Bitcoin-se-prabuseste-in-fata-AI.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/avion-seattle.jpg)