俺の理解が正しければ、メールアドレスを除けば、漏れたデータはすでにユーザーのSoundCloudプロフィールで公開されていたものだね。新しい点は、その公開データをアカウントのメールアドレスに結びつけたことだけだ。

重要なのは、全ユーザーの20%に影響があったみたいだね。> 2025年12月、SoundCloudはプラットフォーム上で無許可の活動を発見したと発表した。この事件により、攻撃者は約20%のユーザーの公開されているSoundCloudプロフィールデータをメールアドレスにマッピングすることができた。影響を受けたデータには、3000万件のユニークなメールアドレス、名前、ユーザー名、アバター、フォロワー数やフォロー数、場合によってはユーザーの国が含まれていた。これは、もちろん俺がその20%の一員だから受け取ったhaveibeenpwnedのメールからの情報だよ。子供たち、各ウェブサイトにユニークなパスワードを使うことを忘れないでね。理想的にはパスワードマネージャーを使ってね。

yt-dlpを使えば、プロフィール全体をエクスポートできるよ。もちろん、まだ有料顧客の時にやらなきゃダメだけど。

SoundCloudはリデザイン前は良かったんだけどね。最近、真剣に使うために再評価しようと思って投稿を再開したら、新しいアップローダーが有料プランに切り替えないとダメだって言ってきた。無料の範囲内にいるのを三回も確認したのに、昔の使ってないユーザー名でアップロードしたものはもっと多かったのに（ほとんどは今はあまり誇れない実験的なものだけど）。どうやらマイクロサービスのアーキテクチャが混乱していて、ドキュメントに書かれている制限を超える厳しい制限がかかっているみたい。支払った後に新しい制限を守ってくれるかどうか、次のプランを売りつけられるんじゃないかと不安だよ。それに、一般的な不具合や「もっと偽のリスナーを$$$で増やそう」ってアカウントからの終わらないスパム（プラットフォームと明らかに共生しているみたいで、見かけ上の数字を増やしている）や、昨年のあいまいな利用規約の変更で自分の作品を使ってMLシステムを訓練できるようになったこともあって、もう無理だと思った。幸い、試用期間だったから、保留中のリリースは公開しなかったよ。もしまだSoundCloudで投稿してるなら、オリジナルの音楽をやってる（例えばDJセットのようにIPの扱いが問題になるものではなく）なら、そろそろちゃんとした出版を考える時かもしれないね！

代替案はある？

それって、サービスにお金を払ってない顧客がサービスを受けられないってことじゃん。

元々有料ユーザーだったからって、今は顧客じゃないよね。お金払わないなら、なんでサービスを受ける権利があるの？毎週このピザ屋でピザ買ってるけど、無料のはもらえないし。SoundCloudはヨーロッパの会社だから、アメリカの企業が使う「無料」サービスのためのダークパターンは使えないし、実際にデータを削除することが法律で求められてるんだよね。

アーティストとプロの違いは、3時間と無制限のアップロード音楽だよ。だから、3時間以上アップロードしてたら、サービスを制限するのは妥当だと思う。3時間以下なら、それは問題だね。

元のデータは一切残さず、マスターをアップロードしては削除してたってこと？

もしかしたら、その2つの公開データは以前は繋がってなかったのかも？SoundCloudは使ってないけど、プロフィールにメールアドレスみたいな連絡先情報がなかったなら、今その2つを繋げるのは意味があるかもね。例えば、「あれ、AさんはメールアドレスXを使ってるけど、2013年以降もLost Prophetsを好きなアーティストとして残してたんだ！」

ハッカーが2980万件のアカウント情報を盗んだらしい（ユーザーの約20%）。SoundCloudは、メールアドレス以外のデータは「公開されている」と軽視してるけど、データはスクレイピングされたわけじゃない。「プロフィール統計」も公開情報じゃないしね。彼らの主な反応は、パスワードと支払い情報だけがリスクのあるデータだってことに焦点を当ててるみたい。メールアドレスは公開だともほのめかしてるし。 >「この事件で敏感なデータは取られていない。関与したデータはメールアドレスと、すでに公開されているSoundCloudのプロフィールに見える情報だけだった（財務情報やパスワードデータではない）」

メールアドレスは公開のSoundCloudプロファイルには載ってないよ。

Lil Bは多分大丈夫だけど、SoundCloudから出てきた中で一番の有名人だと思う。2010年代に大ブレイクしたし、彼もCloudrapのカニエみたいな存在で、スタイルを変えてたからね。

このケビンはかなりすごいよね。 https://en.wikipedia.org/wiki/Kevin_Mitnick

幸いなことに、私がそこで聴いている唯一のアーティストは、20年間「サバーブスのブライス」として知られている人だよ。

賢いスパマー（そういう人もいる！）は、company@の存在を見て、ユーザーが他のアカウントでも似たようなメールを使ってるだろうと考えるから、ebay@や銀行の詐欺を試してみる価値があるかも。送信は安いから、試してみるのもアリだよね。全員を騙そうとしてるわけじゃなくて、ほんの数人だけだから。私は会社ごとにユニークな文字列を使ってるけど、事前に推測できるものじゃないし、見てみればわかるよ。例えば（これが正確なものではないけど）sundclod@やebuy@、amzoon@みたいな感じ。覚えるのは大変だけど、確認するのは簡単だし、パスワードマネージャーが99.99%の確率で自動入力してくれるから助かってる。そういうメールでフィルタリングもできるし、soundcloud@やebay@、amazon@に来るものは絶対にスパムだってわかる。自分が使ったことないアドレスだからね。もしsundclod@が漏洩したら、SoundCloudのアカウントメールをsondclud@に変更して、sundclod@は/dev/nullに追放できるといいな。

こういうことをするだけの先見の明があるユーザーは少数派だよね。漏洩に関与してる人のほとんどは、gmailのプラス/ドットトリックについても知らないんじゃないかな（他のプロバイダーでも同じだと思うけど）。

理論的には、GDPRやCCPA、そしてヨーロッパやアメリカの多くの州の新しいデジタル権利法に基づく法的要件だよ。SoundCloudはそれを正しく実行できるほど大きいと思う。例えば、GDPRの罰金は会社の総収益の高めの割合だから、法律にはしっかりした「歯」があるんだよね。

アカウントの20%だけが侵害されたから、楽観的な結論だね。

Anthropic/Claudeみたいに、支払い方法を削除させない頑固さがあるサービスだと、削除すら選べないこともあるよね。

数ヶ月前にメールアドレスを変更したのに、まだ昔のメールアドレスをマーケティングに使ってるみたい。古いデータを残してるし、業者間でデータの同期もできてないっぽい。データ削除ポリシーがどうなってるかは分からないけど、アクティブなアカウントに昔のデータを使うことに無頓着なのはあまり良い印象じゃないな。

俺はまだ2つのアクティブなアカウントを持ってるけど、そのどちらも20%のアカウントの漏洩には関係ないよ。

それに、「推奨アクション」にはスポンサー商品の1PasswordとTruyuしか表示されなくて、今何をすればいいのか全然分からない。

どういうこと？情報セキュリティの世界でこれが一般的だという意見には賛成できないけど、もう少し詳しく教えてほしいな。

俺的には、そういう機能が組み込まれてるメールプロバイダーを使った方がいいと思う。もしエイリアスプロバイダーがダウンしたら、マジでやばいから。メールプロバイダーよりも不安定なビジネスだから、可能性が高いよね。Gmailが20年後にダウンしたら大事件だけど、mailgoforward.fartがダウンしたら終わりだよ。アドバイスとしては、いつも通り「敏感な」プロバイダーには別のメールアドレスを使うべき。パスワードマネージャーと二段階認証は全てに使おう。理想は、スマホとブラウザに統合できるやつね。追跡可能性のために、今はほとんどのプロバイダーが+エイリアスの構文をサポートしてるよ。例えば、foobar+baxservice@provider.comみたいな感じ。

多くのウェブサイトはスパムのせいでそういうプロバイダーをブロックしてるよ。

自分のドメインを持ってるから、渡すメールアドレスをカナリアトラップにしてるんだ。 https://en.wikipedia.org/wiki/Canary_trap