Lek bij muziekdienst SoundCloud treft bijna dertig miljoen gebruikers

Een lek bij de muziekdienst SoundCloud treft bijna dertig miljoen gebruikers, meldt de website Have I Been Pwned. Hackers hebben onder meer profieldata, namen en e-mailadressen weten te bemachtigen. In sommige gevallen is ook het land waar gebruikers wonen uitgelekt.

Volgens Have I Been Pwned hebben de hackers eerst geprobeerd om SoundCloud af te persen met de data. Daarna hebben ze de data een maand later openbaar gemaakt. De e-mailadressen zijn nu ook opgenomen in de database van de organisatie. 67 procent van de e-mailadressen was al bij een eerder lek geregistreerd.

SoundCloud maakte vorige maand zelf bekend dat het slachtoffer was geworden van een gegevenslek door ongeautoriseerde toegang in een dashboard van een 'aanvullende dienst'. Om welke dienst het precies gaat, is niet bekend. Het bedrijf zei destijds dat ongeveer twintig procent van de gebruikers getroffen was, maar maakte geen exacte aantallen bekend.

Bron: Roma_/iStock Unreleased/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 28-01-2026 19:22
36 • submitter: CriticalHit_NL

28-01-2026 • 19:22

Submitter: CriticalHit_NL

Lees meer

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld

Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld Nieuws van 6 februari 2026

AI-socialemediaplatform Moltbook gaf toegang tot 35.000 e-mailadressen - update

AI-socialemediaplatform Moltbook gaf toegang tot 35.000 e-mailadressen - update Nieuws van 2 februari 2026

Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour

Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour Nieuws van 21 januari 2026

AZ Monica-lek trof ook 3 andere ziekenhuizen; 71.000 patiëntgegevens zichtbaar

AZ Monica-lek trof ook 3 andere ziekenhuizen; 71.000 patiëntgegevens zichtbaar Nieuws van 14 januari 2026

Microsoft dicht drie zerodays waarvan één actief werd misbruikt

Microsoft dicht drie zerodays waarvan één actief werd misbruikt Nieuws van 14 januari 2026

SoundCloud ontslaat ongeveer 20 procent van zijn personeelsbestand

SoundCloud ontslaat ongeveer 20 procent van zijn personeelsbestand Nieuws van 5 augustus 2022

Meer producten en artikelen

Privacy Datalek Hack Security

IT-banen

Meer vacatures

Reacties (36)

36

34

19

0

0

12

Wijzig sortering

Deezers 28 januari 2026 20:35

Ah, vandaar dat ik de laatste tijd weer een flinke toename van spam ervaar. Altijd leuk. Maar lijkt mij alleen interessant als je op zoek bent naar bepaalde personen binnen die 30 miljoen gebruikers?

[Reactie gewijzigd door Deezers op 28 januari 2026 20:36]

m-a-r-t-1 @Deezers • 28 januari 2026 21:13

Ervaar je het of heb je het? Is namelijk een groot verschil.

Deezers @m-a-r-t-1 • 28 januari 2026 21:41

Het meeste verdwijnt automatisch in de spam-folder en die loopt flink op ja. En een deel komt nu gewoon in de normalen inbox binnen maar dat zijn meestal vage mailtjes van 1-2 zinnen met een vaag onderwerp.

Niemand_Anders @Deezers • 29 januari 2026 10:09

Ik draai al ruim 25 jaar mijn eigen mailserver (qmail) en hier heb je adres extenties (soort van plus adressen zoals ook bekend van Google), maar je kunt verschillende catch-all adressen aanmaken met .qmail-default aliasen.

Mijn 'user@example.org' heeft een directe pipe naar /dev/null. Is direct weg en zie ik niet.
Als ik ergens een email adres achter laat is dat altijd in de vorm user-tweakers@example.org.
Op de .qmail-default handler zit een php console 'app' gekoppeld welke controleert of 'tweakers' voorkomt in het from domein van de afzender. Die php app heb ik al sinds 2001 of zo en heb al jaren op mijn todo lijst staan dat ik hem een keer moet herschrijven, maar het werkt nog steeds.

Dat betekend als moederbedrijf mijn een mail stuurt vanaf info@dpg.nl, er dus geen match is en voila, de mail gaat direct de digitale prullenbak ik.

Ik ontvang dan ook vrijwel geen spam. En als een bedrijf wordt overgenomen en ik wil geen mail meer van hun ontvangen, dan maak ik een .qmail-tweakers bestand aan met '&/dev/null' en de alias werkt niet meer.
(.qmail-tweakers wordt geprobeert voordat .qmail-default wordt aangeroepen).

Tshw3 @Niemand_Anders • 29 januari 2026 10:36

Een laagdrempelig alternatief dat ik zelf gebruik in combinatie met Proton is SimpleLogin (dit werkt volgens mij ook zonder Proton). Hierbij heb ik een eigen domein gekoppeld en hanteer ik een vergelijkbaar format als gebruiker @Niemand_Anders bijvoorbeeld: <website@eigendomein.nl>.

Het grote voordeel is dat je direct ziet welke website je gegevens mogelijk doorverkoopt of via welk adres je spam ontvangt. Je kunt zo’n adres vervolgens eenvoudig uitschakelen, waarna de spam direct stopt. Daarnaast is het mogelijk om e-mails te versturen vanuit deze aliassen. Al met al werkt dit zeer gebruiksvriendelijk.

Een leuke bijkomstigheid: je krijgt vaak interessante gesprekken aan de balie wanneer je een e-mailadres noemt dat begint met hun eigen bedrijfsnaam.

peter___ @Niemand_Anders • 29 januari 2026 10:45

Ik gebruik al decennia unieke e-mailadressen per dienst, maar het extra filteren op de from-header is voor mij nieuw, dank voor het idee! Heb je wel eens gehad dat je iets belangrijks mist? Dat facturen en herinneringen bijvoorbeeld door een externe partij gestuurd werden en je een deurwaarder op de stoep had staan?

Alex3 28 januari 2026 19:28

Have I Been Pwned vermeldt niet meer bij welke site het lek zit. Dan heb je er niet veel aan, tenzij je zin hebt om al je wachtwoorden te veranderen.

Soldaatje @Alex3 • 28 januari 2026 19:34

Jawel, vanaf de hoofdpagina kan je je emailadres intypen. Mijn gmail account heeft al 8 breaches, daarom ook best veel spam.

Alex3 @Soldaatje • 29 januari 2026 09:53

Dat betekent niet dat je gmailaccount gehackt is, maar 8 sites waar je je hebt aangemeld met je gmailadres. Spam zegt niets, dat kun je sturen zonder te hacken.

gewoontelefoon 28 januari 2026 21:25

TIP! Installeer de gratis Malwarebytes, daar zit een functie in dat je ook kan zien:
• Welke site
• De eerste 2 letters van het wachtwoord en de laatste.

marcovit @gewoontelefoon • 29 januari 2026 07:55

Als het wachtwoord gehashed is hoe weten ze dan de eerste 2 letters en de laatste?

icecreamfarmer @marcovit • 29 januari 2026 09:36

Dat zijn dus gelekte wachtwoorden.

bakzkndd @marcovit • 29 januari 2026 14:45

Zoals @icecreamfarmer al zei zijn dat inderdaad de gelekte wachtwoorden. Alleen zegt me dat dat niet echt een antwoord is op je vraag, dus laat mij een poging doen.

Wanneer er zo'n hack plaats vindt pakken de hackers vaak de gehashde wachtwoorden mee. Het fijne aan een hash is dat dezelfde input ALTIJD dezelfde output geeft, alleen werkt dat hier juist in het nadeel. Hackers hebben vaak een lijst met veelgebruikte wachtwoorden met daarbij hashes door verschillende hashing algoritmes. Deze lijst vergelijken ze dan met de lijst gestolen wachtwoorden om snel achter de juiste hashing te komen, en gelijk een groot aantal wachtwoorden om te zetten naar bruikbare data. Zodra je het juiste hashing algoritme hebt is het puur een kwestie van tijd, rekenkracht, en willen voordat je andere wachtwoorden gebruteforced hebt.

"Maar wat is dan het nut van een lang ingewikkeld wachtwoord?": Dat zit hem in het aantal pogingen dat hackers ertegenaan kunnen gooien. Vaak als iemand je account wil hacken en het wachtwoord niet weet, kunnen ze wel proberen te bruteforcen, maar na x pogingen blokkeert de website dat gewoon, en is je account dus (in ieder geval tijdelijk) veilig. Zodra iemand de hash in handen heeft valt dit pogingen-limiet natuurlijk weg, en maakt het nog vrij weinig uit hoe complex je wachtwoord is. Daarom altijd een vorm van 2FA/MFA op je account zetten waar mogelijk (niet op je telefoonnummer, die kan gespoofed worden en is na zo'n lek vaak ook niet meer veilig)

gewoontelefoon @marcovit • 5 februari 2026 22:56

Terug hashen misschien. Probeer het zelf eens, het is echt zo.

Llopigat 28 januari 2026 20:21

SoundCloud maakte vorige maand zelf bekend dat het slachtoffer was geworden van een gegevenslek door ongeautoriseerde toegang in een dashboard van een 'aanvullende dienst'

Ahh geweldig dat internet. "Onze 583 gewaardeerde vertrouwde partners willen graag toegang tot je informatie".

Daarom doe ik altijd alles aan reclame en tracking blokkeren.

Al zal het in dit geval wel om een partner gaan die meer met de dienst te maken heeft zoals een identity provider. Maar toch, er wordt veel te losjes omgegaan met onze data.

maali 28 januari 2026 22:30

zo te zien wel van actieve gebruikers tijdens de hack (ben daar alweer een poosje weg vanwege een policy change wat me niet aanstond (weet niet meer wat) en geen last van gehad blijkbaar, delete is dus echt delete

dat is niet altijd een garantie)

telenut 28 januari 2026 22:45

Ik log daar in via facebook of Google. Dan hebben ze mijn email niet dacht ik... helaas. Die van gmail hebben ze wel dus....
Maar goed, het wachtwoord hebben ze dan toch al niet.

joshhh 29 januari 2026 09:03

Weet iemand ook af de wachtwoorden van de gebruikers zijn gelekt? Dat kan ik niet helemaal op maken uit het artikel.

watercoolertje @joshhh • 29 januari 2026 10:15

Dat staat beschreven in de bron

DonJunior @joshhh • 29 januari 2026 13:18

De bron die @watercoolertje bedoelt: https://soundcloud.com/pl...our-users-and-our-service

En dan specifiek over wachtwoorden:

The data involved consisted only of email addresses and information already visible on public SoundCloud profiles (not financial or password data)

Dus nee, wachtwoorden zijn niet gelekt.

@watercoolertje Waarom zou je niet antwoord geven op de vraag als jij die informatie wel al gevonden had?

banaj 28 januari 2026 19:27

Ze zeggen: 'The data involved consisted only of email addresses and information already visible on public SoundCloud profiles'.

Waarom is dit nieuws?

lDDQD @banaj • 28 januari 2026 20:39

E-mailadressen zijn volgens mij niet publiek.

stenkate @lDDQD • 28 januari 2026 20:43

Bedoelen ze niet:

The data involved consisted only of email addresses

and

information already visible on public SoundCloud profiles

S-1-5-7 @stenkate • 28 januari 2026 22:04

Dit is inderdaad wat er geschreven staat, anders was het wel:
The data involved consisted only of email addresses and other information already visible on public SoundCloud profiles

of:
The data involved consisted only of email addresses, which were already publicly visible on SoundCloud profiles.

Ik stoor me vooral aan het woord 'only'. Dit suggereert dat een e-mailadres op zich niet belangrijk is, terwijl criminelen juist veel kunnen doen met de combinatie van een e-mailadres en de naam van een dienst of organisatie. Zo kregen klanten van Sunweb na een datalek bijvoorbeeld valse betalingsverzoeken, zogenaamd afkomstig van Sunweb.

Hoe meer informatie klopt, hoe groter de kans dat mensen in phishing trappen.

Dit is dus zeker nieuwswaardig. Mensen die dit lezen kunnen dus alerter zijn op berichten die zijn van Soundcloud (denken) te ontvangen.

[Reactie gewijzigd door S-1-5-7 op 28 januari 2026 22:04]

stenkate @S-1-5-7 • 29 januari 2026 08:26

Eens, ik vond de bewoording in hun eerste reactie toentertijd ook wat laconiek overkomen in de trant van 'valt allemaal wel mee hoor, wees gerust'.

eborn @S-1-5-7 • 29 januari 2026 17:34

Ware het niet dat tweederde van de mailadressen al bekend waren en vaak ook inclusief naam. Dus als spammer kun je prima doen alsof je SoundCloud bent, want de kans dat er in je bestaande lijst gebruikers zitten is heel groot. En spam kost in verhouding natuurlijk weinig.

S-1-5-7 @eborn • 29 januari 2026 17:42

Dat kan zeker, alleen heb je nu een target groep waarvan je zeker weet dat ze (ooit) SoundCloud gebruik(t)en

GameNympho 28 januari 2026 20:52

En maar promoten dat we de cloud in moeten, of die nu van de EU/NL of ergens anders is, het blijft iets wat giga fout kan gaan en zie/hoor en hoe wordt het afgedaan?

Logica en wijsheid gaan goed samen, maar tegenover het grote geld en het zogenaamde "gemak" is weinig te doen.

Maar wel eerlijk, als men wist dat het een keer fout kan gaan, draagt diegene de consequentie (of dit nu het cloud bedrijf is of de klant)?

Datalek

@GameNympho • 28 januari 2026 22:47

Newsflash: het hoeft niet per se in de cloud te zitten om lek te zijn en binnen te dringen en vervolgens private data te stelen. Andere partijen die geen gebruik maken van een cloud, hebben hier net zo goed last van. Ook is het niet zo makkelijk te zeggen wie verantwoordelijk is, zonder de details van de inbraak te weten, die details zijn ze niet verplicht om te delen ook, dus dat doen ze dan (meestal) ook niet, of later pas wanneer men eea beter onderzocht heeft.

GameNympho @CH4OS • 28 januari 2026 22:53

I know, maar dan nog, als dit zoals nu, fout gaat, ligt er giga veel op "straat".

Dat er nu nog geen verantwoordelijke is, maakt niet veel uit, 30 miljoen is geen klein beetje en kijk je op NL niveau, passen we er bijna 2x in.

En dan ook nog eens, we horen over de normale personen waar de gegevens van open liggen, maar welke instanties en welke bedrijven zijn ook de dupe?

BenBau 28 januari 2026 20:00

0

Om te kunnen reageren moet je ingelogd zijn