SoundCloud veri ihlali, büyük bir siber saldırıda 29,8 milyon kullanıcıya ulaştı

Bilgisayar korsanları, yaklaşık 29,8 milyon kullanıcıya etkileri bildiren veri ihlali bildirim hizmeti Have I Been Pwned ile SoundCloud hesaplarına bağlı kişisel bilgileri ve iletişim bilgilerini açığa çıkardı. İhlal, dünyanın en büyük ses platformlarından birini etkiledi ve şirket olayı doğrulamadan önce birçok kullanıcının hata mesajlarıyla kilitlenmesine neden oldu.

2007 yılında kurulan SoundCloud, büyüyerek 40 milyondan fazla yaratıcının 400 milyondan fazla parçasını barındıran, sanatçı odaklı bir hizmet haline geldi. Bu boyut, olayı özellikle endişe verici hale getirdi. SoundCloud, dahili bir hizmet panosuna bağlı yetkisiz etkinlik tespit ettiğini ve olay müdahale sürecini başlattığını söyledi. O zamanlar kullanıcılar, özellikle VPN'ler aracılığıyla bağlanırken 403 Yasak hatası bildiriyordu.

ÜCRETSİZ CyberGuy Raporum için kaydolunEn iyi teknik ipuçlarımı, acil güvenlik uyarılarımı ve özel fırsatlarımı doğrudan gelen kutunuza alın. Ayrıca, Nihai Dolandırıcılık Hayatta Kalma Rehberime anında erişebileceksiniz — bana katıldığınızda ücretsiz CYBERGUY.COM haber bülteni

BÜYÜK KİMLİK SIZININDA 149 MİLYON ŞİFRE ORTAYA ÇIKTI

SoundCloud ihlalinde hangi veriler açığa çıktı?

SoundCloud başlangıçta saldırganların sınırlı verilere eriştiğini ve şifrelere veya finansal bilgilere dokunmadığını söyledi. Şirket, ifşa edilen bilgilerin kullanıcıların profillerinde halihazırda herkese açık olarak gösterdikleri bilgilerle eşleştiğini söyledi.

Daha sonra yapılan açıklamalar çok daha büyük bir tablo çizdi.

Have I Been Pwned'e göre saldırganlar yaklaşık 29,8 milyon hesaptan veri topladı. Bu veriler şunları içeriyordu:

• E-posta adresleri
• Kullanıcı adları ve görünen adlar
• Profil fotoğrafları ve avatarlar
• Takipçi ve takip sayıları
• Bazı durumlarda coğrafi konumlar

Hiçbir şifre alınmamasına rağmen, e-postaları herkese açık profillere bağlamak gerçek bir risk oluşturur. Bu kombinasyon kimlik avını, kimliğe bürünmeyi ve hedefli dolandırıcılığı körüklüyor.

Saldırının arkasında kim var

Güvenlik araştırmacıları, ihlali tanınmış bir gasp çetesi olan ShinyHunters'a bağladı. Kaynaklar BleepingComputer'a, grubun veri ihlalinin ardından SoundCloud'u şantaj yapmaya çalıştığını söyledi. SoundCloud daha sonra bu iddiaları doğruladı. Ocak ayı güncellemesinde şirket, saldırganların taleplerde bulunduğunu ve kullanıcıları, çalışanları ve ortakları taciz etmek için e-posta akını kampanyaları başlattığını söyledi. ShinyHunters ayrıca Okta, Microsoft ve Google'daki tek oturum açma sistemlerini hedef alan son sesli kimlik avı saldırılarının sorumluluğunu da üstlendi. Bu saldırılar, verileri çalmak ve gasp etmek için kurumsal SaaS hesaplarını hedef alıyordu.

Bu ihlal neden şifreler olmadan da önemli?

İlk bakışta bu durum, şifre veya kredi kartı ihlallerinden daha az ciddi görünebilir. Bu varsayım tehlikeli olabilir. Gerçek profillere bağlı e-posta adresleri, dolandırıcıların ikna edici mesajlar oluşturmasına olanak tanır. SoundCloud, marka ve hatta diğer yaratıcılar gibi davranabilirler. Takipçi sayıları ve kullanıcı adlarıyla mesajlar kişisel ve inandırıcı geliyor. Saldırganlar güven kazandıktan sonra bağlantıları, kötü amaçlı yazılımları veya sahte giriş sayfalarını iletirler. Genellikle daha büyük hesap devralmaları bu şekilde başlar.

SoundCloud kullanıcılarının bundan sonra ne beklemesi gerekiyor?

SoundCloud daha fazla ayrıntının yayınlanıp yayınlanmayacağını söylemedi. Şirket saldırıyı ve gasp girişimini doğruladı ancak kapsam veya iç kontrollerle ilgili takip eden soruları yanıtlamadı. Kullanıcılar için uzun vadeli risk, bu veri kümesinin ne kadar geniş bir alana yayıldığından kaynaklanmaktadır. Bir kez yayınlandıktan sonra açığa çıkan veriler nadiren kaybolur. Yıllarca forumlarda, pazar yerlerinde ve dolandırıcılık ağlarında dolaşıyor.

Yorum almak için SoundCloud'a ulaştık ve bir temsilci bize şunu söyledi:

“Bir tehdit grubu grubunun kuruluşumuzdan alındığı iddia edilen verileri çevrimiçi yayınladığının farkındayız. Önde gelen üçüncü taraf siber güvenlik uzmanlarının desteklediği güvenlik ekibimizin iddiayı ve yayınlanan verileri aktif olarak incelediğini lütfen unutmayın.”

SoundCloud, şifreler veya finansal bilgiler gibi hassas verilere erişildiğine dair hiçbir kanıt bulamadığını söyledi.

SoundCloud ihlalinden sonra güvende kalmanın yolları

Bir SoundCloud hesabınız varsa veya zaten varsa, şimdi harekete geçme zamanı. Sınırlı miktarda verinin açığa çıkması bile, görmezden gelinmesi halinde hedefli dolandırıcılıklara yol açabilir.

1) Kimlik avı ve kimliğe bürünme e-postalarına dikkat edin

Dolandırıcılar genellikle bir ihlalden sonra hızlı hareket ederler. SoundCloud, müzik yüklemeleri, telif hakkı sorunları veya hesap uyarılarından bahseden mesajlar için gelen kutunuzu izleyin. Beklenmeyen e-postalardaki bağlantılara tıklamayın veya ekleri açmayın. Şüpheye düştüğünüzde e-posta bağlantılarını kullanmak yerine doğrudan resmi web sitesine gidin. Güçlü antivirüs yazılımı buraya başka bir koruma katmanı ekler.

Kötü amaçlı yazılım yükleyen ve potansiyel olarak özel bilgilerinize erişen kötü amaçlı bağlantılardan kendinizi korumanın en iyi yolu, tüm cihazlarınızda güçlü bir virüsten koruma yazılımının yüklü olmasıdır. Bu koruma aynı zamanda kimlik avı e-postalarına ve fidye yazılımı dolandırıcılıklarına karşı sizi uyararak kişisel bilgilerinizi ve dijital varlıklarınızı güvende tutar.

Windows, Mac, Android ve iOS cihazlarınız için 2026'nın en iyi antivirüs koruması kazananları için seçtiklerimi şu adresten edinin: Cyberguy.com

2) SoundCloud şifrenizi yine de değiştirin

Şifreler açığa çıkmadı ancak şifreleri değiştirmek yine de akıllıca olacaktır. Başka hiçbir yerde kullanmadığınız yeni bir şifre oluşturun. Parolaları hatırlamak imkansız görünüyorsa, güçlü parolalar oluşturmak ve güvenli bir şekilde saklamak için bir parola yöneticisi kullanmayı düşünün. Bu, platformlar arasında yeniden kullanım riskini azaltır.

Daha sonra, e-postanızın geçmişteki ihlallere maruz kalıp kalmadığına bakın. 1 numaralı şifre yöneticimiz (bkz. Cyberguy.com) pick, e-posta adresinizin veya şifrelerinizin bilinen sızıntılarda görünüp görünmediğini kontrol eden yerleşik bir ihlal tarayıcısı içerir. Bir eşleşme bulursanız, yeniden kullanılan şifreleri hemen değiştirin ve bu hesapları yeni, benzersiz kimlik bilgileriyle güvence altına alın.

2026'nın uzman incelemesinden geçmiş en iyi şifre yöneticilerine şu adresten göz atın: Cyberguy.com

3) İki faktörlü kimlik doğrulamayı açın

İki faktörlü kimlik doğrulama (2FA), birisinin hesabınıza erişmeye çalışması durumunda kritik bir engel oluşturur. Saldırganlar şifreyi daha sonra tahmin etse veya ele geçirse bile yine de ikinci bir doğrulama adımına ihtiyaç duyarlar. SoundCloud'un veya bağlı hizmetlerin sunduğu her yerde 2FA'yı etkinleştirin.

4) E-posta hesabınızı kilitleyin

Çoğu ihlalden sonra e-postanız gerçek hedeftir. Birisi buna erişim kazanırsa, diğer her yerdeki şifreleri sıfırlayabilir. E-posta hesabınız için güçlü, benzersiz bir şifre kullanın ve iki faktörlü kimlik doğrulamayı açın. Hala size ait olduklarından emin olmak için kurtarma e-postalarını ve telefon numaralarını inceleyin.

VERİ İHLALİ 400.000 BANKA MÜŞTERİSİNİN BİLGİLERİNİ İFŞA EDİYOR

5) Çevrimiçi veri ayak izinizi azaltın

Saldırganlar, daha fazla ayrıntı için veri aracısı sitelerinde ve sosyal platformlarda arama yapmak amacıyla ihlal edilen e-postaları kullanır. Ne kadar az veri mevcut olursa, hedeflemeniz o kadar zorlaşır. E-postanızın ve kişisel bilgilerinizin web'de görünme sıklığını sınırlamak için bir veri kaldırma hizmetini düşünün.

Hiçbir hizmet verilerinizin internetten tamamen kaldırılmasını garanti edemezken, veri kaldırma hizmeti gerçekten akıllıca bir seçimdir. Ucuz değiller ve gizliliğiniz de değil. Bu hizmetler, kişisel bilgilerinizi yüzlerce web sitesinden aktif olarak izleyerek ve sistematik olarak silerek tüm işi sizin için yapar. Bana gönül rahatlığı veren şey bu ve kişisel verilerinizi internetten silmenin en etkili yolu olduğu kanıtlandı. Mevcut bilgileri sınırlayarak, dolandırıcıların ihlallerden elde edilen verilerle karanlık ağda bulabilecekleri bilgileri çapraz referanslama riskini azaltır ve sizi hedeflemelerini zorlaştırırsınız.

Veri kaldırma hizmetleri için en iyi seçimlerime göz atın ve şu adresi ziyaret ederek kişisel bilgilerinizin zaten internette bulunup bulunmadığını öğrenmek için ücretsiz bir tarama yapın: Cyberguy.com

Kişisel bilgilerinizin halihazırda internette bulunup bulunmadığını öğrenmek için ücretsiz taramadan yararlanın: Cyberguy.com

6) Diğer hesaplarınızı şüpheli etkinlik açısından kontrol edin

Saldırganlar, yayın hizmetleri, sosyal medya ve alışveriş hesaplarındaki oturum açma bilgilerini test etmek için genellikle açığa çıkan e-posta adreslerini yeniden kullanır. İstemediğiniz şifre sıfırlama e-postalarına veya bilmediğiniz konumlardan gelen giriş uyarılarına dikkat edin. Bir şeyler yolunda gitmiyorsa hızlı davranın.

Kurt'un önemli çıkarımları

Veri ihlalleri artık tek bir uygulamayla veya tek bir anla sınırlı kalmıyor. Saldırganlar zararsız görünen bilgileri ifşa etseler bile etkisi çok daha uzun sürebilir. SoundCloud ihlali, genel profil verilerinin özel iletişim bilgileriyle eşleştirilmesinin nasıl gerçek bir teşhir yarattığını gösteriyor. İhlaller artmaya devam ederken uyanık kalmak, veri paylaşımını sınırlamak ve güçlü güvenlik alışkanlıkları kullanmak en iyi savunmanız olmaya devam ediyor.

Hangi eski veya unutulmuş hesapların hâlâ e-postanızı açığa çıkardığını ve şu anda sizi riske atabileceğini kontrol ettiniz mi? Düşüncelerinizi bize yazarak bildirin. Cyberguy.com

FOX HABER UYGULAMASINI İNDİRMEK İÇİN TIKLAYIN

ÜCRETSİZ CyberGuy Raporum için kaydolun En iyi teknik ipuçlarımı, acil güvenlik uyarılarımı ve özel fırsatlarımı doğrudan gelen kutunuza alın. Ayrıca, Nihai Dolandırıcılık Hayatta Kalma Rehberime anında erişebileceksiniz — bana katıldığınızda ücretsiz CYBERGUY.COM haber bülteni

Telif Hakkı 2026 CyberGuy.com'a aittir. Her hakkı saklıdır.