SoundCloud lộ dữ liệu 29,8 triệu người dùng do khai thác API

[WhiteHat Team]

Nền tảng chia sẻ âm thanh SoundCloud vừa xác nhận một sự cố an ninh nghiêm trọng, khiến dữ liệu cá nhân của khoảng 29,8 triệu người dùng bị lộ. Hoạt động bất thường được phát hiện từ cuối năm 2025, nhưng đến tháng 1/2026, toàn bộ tập dữ liệu mới bị phát tán công khai, nhanh chóng thu hút sự chú ý của giới an ninh mạng.
​

Điểm đáng nói là vụ việc không xuất phát từ một cuộc tấn công xâm nhập cơ sở dữ liệu truyền thống. Không có SQL injection, không dump bảng user, không root server. Thay vào đó, tin tặc đã tận dụng chính cơ chế vận hành của nền tảng, cụ thể là khả năng kiểm tra và liên kết địa chỉ email với các hồ sơ người dùng công khai.

Theo SoundCloud, từ tháng 12/2025, tin tặc đã triển khai một chiến dịch thu thập dữ liệu có chủ đích. Thay vì tấn công trực tiếp hệ thống, chúng tự động dò quét các tính năng cho phép tra cứu và hiển thị thông tin người dùng, sau đó ghép địa chỉ email với hồ sơ công khai trên nền tảng. Bằng cách này, các đối tượng tấn công đã xác định danh tính của khoảng 20% tổng số người dùng SoundCloud. Nhiều tài khoản tưởng chừng chỉ hiển thị thông tin “vô hại”, nhưng khi được liên kết với email, toàn bộ lớp ẩn danh gần như không còn.

Sau khi thu thập đủ dữ liệu, nhóm tấn công đã tìm cách tống tiền SoundCloud. Khi yêu cầu này bị từ chối, toàn bộ cơ sở dữ liệu gồm 29,8 triệu bản ghi đã bị công khai vào tháng 1/2026 và nhanh chóng được dịch vụ theo dõi rò rỉ dữ liệu Have I Been Pwned ghi nhận vào ngày 27/1/2026.

Dữ liệu bị lộ không bao gồm mật khẩu hay thông tin thanh toán, nhưng vẫn mang giá trị lớn đối với tin tặc. Tập dữ liệu này chứa địa chỉ email, username, tên hiển thị, ảnh đại diện, số lượng người theo dõi, danh sách theo dõi và thông tin quốc gia (một phần), những yếu tố khi được đặt cạnh nhau có thể phác họa khá đầy đủ chân dung của một người dùng.

Việc email riêng tư bị liên kết trực tiếp với hồ sơ công khai đã làm suy yếu đáng kể lớp ẩn danh của người dùng SoundCloud. Từ đây, kẻ tấn công có thể dễ dàng tận dụng các chi tiết sẵn có để triển khai những kịch bản lừa đảo nhắm mục tiêu, vốn dựa nhiều vào độ tin cậy của thông tin hơn là kỹ thuật tấn công phức tạp.

Chỉ cần một email giả mạo danh bộ phận hỗ trợ SoundCloud, nhắc đúng ảnh đại diện hoặc một vài chi tiết trên hồ sơ, thông điệp gửi đến nạn nhân đã trở nên thuyết phục hơn hẳn. Đây là dạng tấn công không mới, nhưng vẫn cho thấy hiệu quả rõ rệt khi dữ liệu cá nhân bị thu thập và liên kết một cách có hệ thống.

Các chuyên gia an ninh cũng lưu ý rằng, ngay cả khi mật khẩu không xuất hiện trong tập dữ liệu bị rò rỉ, email hợp lệ vẫn là mục tiêu có giá trị cao. Những địa chỉ này thường được sử dụng trong các chiến dịch credential stuffing, nơi tin tặc thử cùng một cặp thông tin đăng nhập trên nhiều nền tảng khác nhau. Trong bối cảnh đó, SoundCloud có thể chỉ là mắt xích đầu tiên trong chuỗi rủi ro kéo dài sang các dịch vụ khác.

Vụ việc một lần nữa cho thấy, với các hệ thống web quy mô lớn, API và các tính năng tiện ích nếu không được kiểm soát chặt chẽ có thể vô tình trở thành “mỏ dữ liệu” cho tin tặc. Không cần đến lỗ hổng zero-day hay kỹ thuật khai thác phức tạp, việc lạm dụng logic và chức năng sẵn có cũng đủ để gây ra hậu quả trên diện rộng.
​

Theo Cyber Press​