Mein User-Account ist vom SoundCloud-Hack betroffen, der nun bekannt wurde. Knapp 30 Millionen User-Datensätze wurden im Jahr 2025 erbeutet. Und ich frage mich langsam, was der Laden überhaupt kann. Musikvertrieb nicht, Musiker fair bezahlen nicht, zahlende Musiker wie Menschen behandeln nicht, aber das war ja klar. Dass sie allerdings auch nicht auf die User-Daten aufpassen können, ist eine neue Dimension. Ich bin stinkesauer, das kann ich euch flüstern.
Um was geht es denn bei dem ominösen SoundCloud-Hack?
Es wurde nun bekannt, dass es Angreifern gelungen ist, bei einem SoundCloud-Hack die kompletten Datensätze von 20% aller SoundCloud-Nutzer zu erbeuten. Der Musikstreaming-Dienst geht offensiv damit um. Die Truppe hinter dem Angriff heißt ShinyHunters, und sie haben auch den Finanzberater Betterment, den BI-Anbieter Crunchbase und vermutlich weitere Anbieter angegriffen. Mitarbeiter der angegriffenen Firmen wurden durch „Voice Phishing“ getäuscht. Das war das Problem.
Das gemeinsame Schlüsselelement war wohl das US-Unternehmen Okta, das ein Anbieter von Identitätsmanagement und dergleichen ist. Deren Dienste wohnen bei Amazon Web Services. Okta bietet ein Single Sign-On an. Mit fingierten Anrufen wurden wohl Zugangsdaten erbeutet. Das ist das „Voice Phishing“ – oder halt „Vishing“. Damit erhielten die Angreifer Zugang zu Crunchbase und Betterment. Wie der SoundCloud-Hack zustande kam, ist noch unklar.
Wie immer gilt, die Nutzerdaten schnellstmöglich zu aktualisieren. Und wer weiß, vielleicht ergibt sich so auch der Gedanke, ob man den einen oder anderen Dienst überhaupt noch braucht. Die Webseite „Have I Been Pwned“ listet auf, an welche Daten die Angreifer im Falle von SoundCloud gekommen sind. Ich wurde per Email informiert. Und natürlich muss ich in Bezug auf den SoundCloud-Hack tätig werden.
Und wie verhalte ich mich?
Ich habe ja meine offiziellen Releases von SoundCloud zu Ditto Music umgezogen. Davon schrieb ich hier, hier und hier. Wenn ihr auf die „hiers“ klickt, kommt ihr zu Listen, in denen die umgezogenen Singles verlinkt sind. Jedenfalls gibt es mit einer Single Probleme. Die geht und geht nicht offline. Also habe ich beim Support nachgefragt. Nach vorherigen Erfahrungen mit dem, was die Support nennen, hatte ich nur ganz geringe Erwartungen. Und die wurden noch locker unterboten.
Wer den Support von SoundCloud erreichen will, schreibt mit „Otto“, deren Bot. Dem erklärst du mehrfach, was du willst. Und der sagt dir dann, dass sich seine menschlichen Kollegen melden werden. Passiert ist seitdem nichts. Auf Nachfrage erhielt ich die Mitteilung, dass es derzeit zu einem erhöhten Aufkommen kommen würde. Bla bla, dachte ich. Aber jetzt ist mir der Hintergrund dazu auch irgendwie klar. Also: Was werde ich nun tun?
SoundCloud ist ein Dienst, bei dem du deinen Account mit Mehrfach-Authentifizierung absichern kannst. Natürlich habe ich das gemacht, wenn sie es schon anbieten. Aber ich habe auch mein Passwort geändert. Ich kann ja – auch wenn ich SoundCloud kündige – den Dienst kostenfrei nutzen, um zu überprüfen, ob meine Veröffentlichungen auch dort ankommen. Ich glaube also nicht, dass ich den Account nun Knall auf Fall löschen werde.
Wie verhält man sich denn überhaupt am besten?
Wir haben ja sicherlich alle keine Ahnung, woher der Angriff kam. ShinyHunters sind kein neues Phänomen. Sie sind höchst kriminell. Sie haben in der Vergangenheit auch Ticketmaster, die Santander Bank, Microsoft, GitHub, AT&T, LVMH, Google, Qantas, Land Rover und andere angegriffen. Ein Franzose namens Sébastien Raoult seht im Verdacht, da mit dabei zu sein. Er wurde auch schon mal verurteilt. Ebenso der 19-jährige US-Amerikaner Matthew D. Lane.
Aber wie würde ich mich am ehesten verhalten? Zunächst einmal: Es gibt keinen absoluten Schutz. Dessen muss man sich bewusst sein. Und so muss man sich entscheiden: Brauche ich wirklich jeden einzelnen Dienst, wo ich einen Account habe? Wenn nicht, muss man auch mal Accounts schließen. So viel wie nötig, so wenige wie möglich. Und die, die man braucht, muss man absichern. Mit starken Passwörtern und – wo es geht – mit 2-Faktor-Authentifizierung.
All das stimmt bei mir. Dennoch bin ich einer der knapp 30 Millionen betroffenen User beim SoundCloud-Hack. Wenn das passiert, müsst ihr so schnell es geht die Zugangsdaten ändern. Aber einmal erbeutete Daten fangt ihr halt nie wieder ein. Und das ist das Blöde an solchen Angriffen. Darum seid vorsichtig und nutzt nur das, was ihr braucht. Das Internet ist halt ein Kriegsschauplatz geworden. Leider. Und vielleicht mache ich meinen Account bei SoundCloud ja doch noch zu.
Likes