SoundCloud hat eine Sicherheitslücke bestätigt, die in den letzten Tagen zu Ausfällen und VPN-Verbindungsproblemen geführt hat. Bei dem Vorfall stahlen Bedrohungsakteure eine Datenbank mit E-Mail-Adressen und öffentlichen Profilinformationen der Benutzer.
Am 15. Dezember 2025 gab die Audio-Streaming-Plattform den Verstoß bekannt, nachdem Benutzer über Zugriffsprobleme berichtet hatten. Benutzer, die versuchten, eine VPN-Verbindung herzustellen, stießen in den letzten vier Tagen auf 403 „verbotene“ Fehler.
SoundCloud hat unbefugte Aktivitäten auf einem Zusatzdienst-Dashboard erkannt und seine Verfahren zur Reaktion auf Vorfälle aktiviert.
„Wir verstehen, dass eine angebliche Gruppe von Bedrohungsakteuren auf bestimmte begrenzte Daten zugegriffen hat, die wir besitzen“, sagte das Unternehmen. Eine Untersuchung bestätigte, dass die Offenlegung nur E-Mail-Adressen und Informationen umfasste, die in öffentlichen SoundCloud-Profilen sichtbar waren. Auf sensible Daten wie Finanz- oder Passwortinformationen wurde nicht zugegriffen.
Der Verstoß betraf 20 % der SoundCloud-Benutzer und betraf nach öffentlich gemeldeten Zahlen rund 28 Millionen Konten. SoundCloud gab an, jeglichen unbefugten Zugriff auf seine Systeme blockiert zu haben und bestätigte, dass kein anhaltendes Risiko für die Plattform bestehe.
Das Unternehmen arbeitete mit externen Cybersicherheitsexperten zusammen, um die Sicherheitsmaßnahmen zu verbessern. Zu diesen Schritten gehörten die Verbesserung der Überwachung und Bedrohungserkennung, die Überprüfung der Identitäts- und Zugriffskontrollen sowie die Durchführung einer Bewertung der zugehörigen Systeme.
Während der Antwort wurde die VPN-Verbindung zur Site durch eine Konfigurationsänderung unterbrochen. SoundCloud hat keinen Zeitplan für die vollständige VPN-Wiederherstellung bereitgestellt.
Nach der Umsetzung dieser Maßnahmen war SoundCloud mit Denial-of-Service-Angriffen konfrontiert, die die Webverfügbarkeit der Plattform vorübergehend lahmlegten.
