State of DevOps VietNam 2026

DevOps VietNam

Đăng nhập
Đăng ký
Đăng nhập

SoundCloud xác nhận bị tấn công: Khoảng 28 Triệu hồ sơ bị rò rỉ

Hàng loạt người dùng báo cáo rằng không thể truy cập SoundCloud với thông báo lỗi 403 Forbidden từ Amazon CloudFront. Ban đầu, cộng đồng chỉ nghĩ đây là một đợt chặn IP thông thường hoặc một lỗi cấu hình sai hệ thống. Nhưng không, đó chỉ là phần nổi của tảng băng chìm. Ẩn sau sự cố kết nối đó là một cuộc chiến căng thẳng giữa đội ngũ Security của SoundCloud và nhóm Threat Actor khét tiếng ShinyHunters.

SoundCloud lộ dữ liệu 28 triệu user

Từ Lỗ Hổng Dashboard Đến Dữ Liệu Của 28 Triệu User?

Theo thông tin xác nhận chính thức, SoundCloud đã phát hiện hoạt động trái phép trên một ancillary service dashboard (bảng điều khiển dịch vụ phụ trợ). Đây là một kịch bản kinh điển trong Supply Chain Attack hoặc Internal Compromise: Hacker không tấn công trực diện vào Core Infrastructure được bảo vệ kỹ lưỡng, mà tìm đường đi qua các công cụ quản trị bên thứ ba hoặc các Internal Tool ít được giám sát hơn.

Ngay sau khi phát hiện sự xâm nhập, đội ngũ Incident Response của SoundCloud đã kích hoạt giao thức khẩn cấp để cô lập hoạt động này. Tuy nhiên, thiệt hại đã xảy ra. Một lượng dữ liệu khổng lồ chứa thông tin của khoảng 20% tổng số user (ước tính khoảng 28 triệu tài khoản – dựa vào báo cáo của Business of Apps, SoundCloud có khoảng 140 triệu tài khoản) đã bị Threat Actor truy cập và exfiltrate (trích xuất).

State of DevOps VietNam 2026

Dữ liệu bị rò rỉ bao gồm địa chỉ email và các thông tin hồ sơ công khai (public profile information). Mặc dù SoundCloud khẳng định không có Sensitive Data như mật khẩu hay thông tin tài chính bị lộ, nhưng với các nhóm Extortion Gang như ShinyHunters, chỉ cần danh sách email và metadata người dùng cũng đủ để thực hiện các chiến dịch Phishing quy mô lớn hoặc bán lại trên Dark Web.

SoundCloud lộ dữ liệu 28 triệu user

Nguyên văn từ bài đăng của SoundCloud: “We understand that a purported threat actor group accessed certain limited data that we hold. We have completed an investigation into the data that was impacted, and no sensitive data (such as financial or password data) has been accessed. The data involved consisted only of email addresses and information already visible on public SoundCloud profiles and affected approximately 20% of SoundCloud users.”

Hậu Quả Kép: DDoS Attack và Sự Cố Friendly Fire

Cuộc tấn công không dừng lại ở việc trộm dữ liệu. Ngay sau khi SoundCloud thực hiện các biện pháp vá lỗi, nền tảng này tiếp tục hứng chịu nhiều đợt DDoS Attack (Distributed Denial of Service) khiến dịch vụ web bị tê liệt tạm thời. Đây là chiến thuật Smokescreen thường thấy: Hacker tung hỏa mù bằng DDoS để làm phân tán sự chú ý của đội ngũ Blue Team trong khi chúng thực hiện các hành vi xâm nhập sâu hơn hoặc che giấu dấu vết.

Trong nỗ lực tuyệt vọng để ngăn chặn làn sóng tấn công và vá các lỗ hổng, SoundCloud đã thực hiện hàng loạt thay đổi về cấu hình trên hệ thống mạng của họ. Chính những thay đổi vội vã này đã dẫn đến sự cố “Friendly Fire” (bắn nhầm quân mình): Các quy tắc tường lửa hoặc cấu hình CDN đã vô tình chặn lưu lượng truy cập từ các dải IP của VPN, khiến hàng triệu người dùng hợp pháp bị từ chối dịch vụ với lỗi 403.

Đại diện SoundCloud thừa nhận rằng các thay đổi về cấu hình trong quá trình khắc phục đã gây ra sự cố kết nối này, nhưng không đưa ra mốc thời gian cụ thể cho việc khôi phục hoàn toàn.

Có chắc chắn là ShinyHunters?

Mặc dù SoundCloud không công khai danh tính kẻ tấn công, các nguồn tin tình báo (Threat Intelligence) từ BleepingComputer đã chỉ điểm ShinyHunters là thủ phạm đứng sau vụ việc. Đây là nhóm tội phạm mạng nổi tiếng với việc nhắm mục tiêu vào các kho lưu trữ code (như GitHub), các công cụ quản lý dự án và các Database dịch vụ để đánh cắp dữ liệu người dùng và tống tiền nạn nhân.

1. Claim of Responsibility trên BreachForums

Bằng chứng rõ ràng nhất xuất hiện chỉ vài giờ sau khi thông tin về lỗ hổng Dashboard bị rò rỉ. Một tài khoản có uy tín cao, được xác nhận là thành viên cốt cán của ShinyHunters, đã đăng tải một topic bán dữ liệu (Data Sale) trên BreachForums.

  • Proof of Concept (PoC): Bài đăng đi kèm với một Data Sample chứa 100.000 record của người dùng SoundCloud.
  • Data Integrity: Các nhà nghiên cứu đã xác minh mẫu dữ liệu này (Verified Sample) bằng cách đối chiếu User ID và Email với các tài khoản thực tế. Cấu trúc dữ liệu JSON hoàn toàn khớp với định dạng API nội bộ của SoundCloud, chứng tỏ dữ liệu được dump trực tiếp từ Backend chứ không phải do scraping.

2. Sự trùng khớp về TTPs (Tactics, Techniques, and Procedures)

Các chuyên gia từ Mandiant (Google Threat Intelligence) đã theo dõi hoạt động của ShinyHunters (được định danh là UNC6040) trong suốt năm 2025 và nhận thấy sự trùng khớp lớn trong cách thức tấn công SoundCloud:

  • SaaS/Dashboard Exploitation: Thay vì tấn công vào Core Infrastructure, nhóm này tập trung khai thác các Ancillary Service hoặc các nền tảng SaaS bên thứ ba (như Salesforce, Snowflake) để đi đường vòng vào hệ thống. Lỗ hổng tại Dashboard phụ trợ của SoundCloud hoàn toàn phù hợp với Playbook này.
  • Extortion Tactics: Mô hình tống tiền kép (Double Extortion) vừa trộm dữ liệu vừa đe dọa công khai danh tính nạn nhân là dấu hiệu đặc trưng của liên minh Scattered Lapsus$ Hunters trong năm nay.

3. Timing và Infrastructure

Các cuộc tấn công DDoS diễn ra đồng thời với quá trình Data Exfiltration tại SoundCloud có nguồn gốc từ cùng một Botnet mà ShinyHunters đã sử dụng trong các chiến dịch tấn công Vietnam’s National Credit Information Center (CIC) và Google Salesforce hồi tháng 9 và tháng 10 năm 2025.

  • Việc sử dụng DDoS làm Smokescreen để che giấu hoạt động Exfiltration là kỹ thuật mà nhóm này đã thành thục và áp dụng lặp lại trên nhiều nạn nhân lớn trong danh sách Fortune 500.

4. Lịch sử tấn công (Historical Pattern)

ShinyHunters không phải là cái tên xa lạ với các vụ breach quy mô lớn. Hồ sơ của nhóm này bao gồm các vụ tấn công vào Ticketmaster (560 triệu user), Santander Bank, và AT&T. Quy mô 28 triệu user của SoundCloud, mặc dù lớn, hoàn toàn nằm trong khả năng xử lý và “khẩu vị” mục tiêu của nhóm này.

Tóm lại, sự kết hợp giữa bài đăng xác nhận trên Dark Web, tính xác thực của Sample Data và sự trùng khớp về kỹ thuật tấn công (TTPs) là cơ sở vững chắc để giới chuyên môn khẳng định ShinyHunters là tác giả của vụ việc này.

Bài học từ một Ancillary Service bị bỏ quên

Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về Security Hygiene đối với các dashboard và công cụ nội bộ. Trong môi trường DevOps hiện đại, việc bảo vệ Production Environment là chưa đủ, các Ancillary Service thường bị bỏ quên lại chính là Attack Vector ưa thích của hacker để xâm nhập vào hệ thống.

SoundCloud hiện đang phối hợp với các chuyên gia Forensic bên thứ ba để Audit toàn bộ hệ thống và củng cố các quy trình Access Control, nhưng niềm tin của cộng đồng người dùng và tính khả dụng của dịch vụ đã bị ảnh hưởng nghiêm trọng.

Thông tin nổi bật

Sự kiện phát trực tiếp​

Event Thumbnail

Báo cáo quan trọng

Article Thumbnail
Article Thumbnail

Sự kiện đang hiện hành

Nội dung nổi bật

Bài viết khác

Chia sẻ bài viết:
Theo dõi
Thông báo của
0 Góp ý
Được bỏ phiếu nhiều nhất
Mới nhất Cũ nhất
Phản hồi nội tuyến
Xem tất cả bình luận

Tiêu điểm chuyên gia