SoundCloud : fuite de données de comptes
Une intrusion révélée en décembre 2025 a exposé courriels et données de profil d'environ 29,8 millions de comptes SoundCloud, soit près de 20 pour cent des utilisateurs.
- Organisation
- SoundCloud
- Secteur
- Réseaux sociaux / Tech
- Pays
- Allemagne
- Date des faits
- Détection mi-décembre 2025, confirmation publique le 15 décembre 2025, données diffusées en janvier 2026
- Ampleur
- Environ 29,8 millions de comptes (près de 20 pour cent de la base utilisateurs mondiale), incluant des utilisateurs européens et français
- Vecteur
- Accès non autorisé à un tableau de bord d'un service annexe ayant permis de relier des adresses e-mail à des informations de profil publiques. Extorsion par le groupe ShinyHunters, suivie d'attaques par déni de service.
- Données exposées
- Adresses e-mail, Noms, Noms d'utilisateur, Avatars de profil, Nombre d'abonnés et d'abonnements, Données de localisation ou pays (dans certains cas)
SoundCloud, plateforme de streaming musical dont le siège est à Berlin, a confirmé le 15 décembre 2025 avoir détecté une activité non autorisée sur le tableau de bord d’un service annexe. Selon le communiqué officiel de l’entreprise, l’incident a permis à un acteur malveillant de relier des adresses e-mail à des informations déjà visibles sur les profils publics. L’entreprise affirme qu’aucune donnée sensible, comme les mots de passe ou les informations de paiement, n’a été consultée.
Les données concernées portent sur environ 20 pour cent de la base utilisateurs, soit près de 29,8 millions de comptes selon le décompte du service Have I Been Pwned, qui a intégré le jeu de données le 27 janvier 2026. Les éléments exposés comprennent des adresses e-mail, des noms, des noms d’utilisateur, des avatars, des nombres d’abonnés et, dans certains cas, des données de pays ou de localisation. L’incident a été attribué au groupe d’extorsion ShinyHunters, qui a formulé des demandes financières puis diffusé les données en janvier 2026, accompagnant son action de campagnes d’e-mails de pression et d’attaques par déni de service.
SoundCloud étant une entreprise établie dans l’Union européenne et exploitant un service mondial, des utilisateurs européens et français figurent nécessairement parmi les comptes concernés, ce qui place l’incident dans le champ du RGPD. À la date de cette fiche, aucune décision ni aucun communiqué d’une autorité de protection des données, comme la CNIL ou l’autorité allemande, n’a été identifié publiquement. Le périmètre exact des personnes touchées en France n’est pas documenté de façon indépendante.
Le principal risque associé à cette fuite tient à l’association entre adresses e-mail jusque-là non publiques et profils identifiables, combinaison propice aux campagnes d’hameçonnage ciblé, à l’usurpation d’identité et aux escroqueries. Les utilisateurs sont invités à se méfier des messages non sollicités se présentant comme émanant de SoundCloud et à activer les protections disponibles sur leur compte.
Sources
- SoundCloud, communiqué officiel : Protecting Our Users and Our Service
- BleepingComputer : Have I Been Pwned: SoundCloud data breach impacts 29.8 million accounts
- Have I Been Pwned : SoundCloud Data Breach
- TechRepublic : SoundCloud Data Breach Exposes Nearly 30M User Accounts
- Techzine (UE) : Nearly 30 million SoundCloud accounts affected by data breach
- TechRadar : Confirmed: SoundCloud data breach hit 29.8 million accounts