SoundCloud, a well-known social network for sharing music, suffered a serious cyberattack that exposed data from 29,8 millions of user accounts, approximately 20% of its total database. Cybercriminals illegally accessed a secondary services panel of the audio streaming platform, founded in 2007 where more than 400 million tracks from 40 million artists are hosted.
The company detected unauthorized activity on 15 December 2025, activated its incident response protocols and confirmed that the attackers extracted emails, Names, usernames, geographical locations, avatars, follower statistics and countries in some cases, but did not touch sensitive data such as passwords or financial information. Los criminales intentaron extorsionar a SoundCloud con demandas y tácticas de inundación de correos contra usuarios, empleados y socios, antes de liberar públicamente los datos al mes siguiente; el servicio Have I Been Pwned añadió esos casi 30 millones de correos únicos a su base para alertar a afectados.
Los usuarios reportaron errores —consecuencia de cambios de seguridad de SoundCloud— y sucesivos ataques DDoS. SoundCloud fortaleció el monitoreo, los controles de acceso y auditorías, insta a la vigilancia contra phishing y credential stuffing, y enfatiza que la privacidad sigue como prioridad máxima sin interrupciones operativas mayores.
Fountain: Bleeping Computer