音樂串流平臺SoundCloud日前揭露資安事件,表示其後臺一處周邊服務儀表板出現未授權活動,攻擊者得以把約兩成用戶的電子郵件地址,與原本就可在公開個人檔案頁面取得的資料建立對應關係。資料外洩追蹤網站Have I Been Pwned(HIBP)收錄後指出,受影響帳號約2,980萬筆,且外洩資料包含約3,000萬個唯一電子郵件地址,使攻擊者能將公開個人檔案資訊連結到特定電子郵件地址,資料並在隔月遭公開釋出。
SoundCloud在2025年12月15日說明,團隊偵測到未授權活動後即啟動事件應變程序並迅速阻止,並委託第三方資安專家協助調查。該公司強調,此次受影響的資料不包含密碼或財務資料,主要是電子郵件地址與公開個人檔案資訊。
依SoundCloud說法,事件處置後平臺曾遭遇阻斷服務(DoS)攻擊,其中兩次一度影響網站端的可用性,SoundCloud也調整相關設定,強化監控、威脅偵測以及身分與存取控管,但部分使用VPN的用戶因此短暫出現連線問題,官方表示正持續修復。
在1月13日後續更新中,SoundCloud指出,宣稱涉案的攻擊者團體近期提出要求,並以電子郵件洪水攻擊騷擾用戶、員工與合作夥伴,同時持續聲稱取得敏感資料。SoundCloud表示目前沒有證據支持這些說法,並已強化周邊防護與DoS攻擊的偵測與緩解能力,也正全面檢視服務並修補潛在弱點。
HIBP於1月27日將該事件加入資料外洩清單,網站列出的受影響資料類型包含電子郵件地址、姓名、使用者名稱、頭像、地理位置與個人檔案統計等。由於電子郵件地址長被用作登入身分或對外聯絡管道,一旦能與公開個人檔案連結,外界就更容易鎖定特定對象投遞垃圾郵件,或以社交工程手法偽裝熟人與客服來訊,提高受害者誤信的機率。
SoundCloud建議用戶維持基本的帳號與郵件防護習慣,留意可疑訊息與網路釣魚手法。官方強調不會以任何方式索取密碼或帳號憑證,當收到可疑來訊應避免點擊連結或回覆,以免在外洩資料被用來進一步冒用身分時,擴大後續損害。
熱門新聞
2026-01-27
2026-01-26
2026-01-27
2026-01-27
2026-01-27
2026-01-26