Sicherheit

Suno-Hack deckt Scraping von YouTube und Deezer auf

3 Min. Lesezeit
Laptop-Bildschirm mit Quellcode und Musik-Wellenformen neben einem aufgebrochenen Vorhängeschloss-Symbol auf einem Schreibtisch. Generiertes Bild mit GPT Image 2
Laptop-Bildschirm mit Quellcode und Musik-Wellenformen neben einem aufgebrochenen Vorhängeschloss-Symbol auf einem Schreibtisch.

TL;DR Too Long; Didn’t read

Ein Hackerangriff hat Mitte Juli 2026 internen Quellcode von Suno offengelegt, der die Trainingsdatenbeschaffung des KI-Musikdienstes dokumentiert. Die Dateien belegen laut 404 Media das Scraping von mehr als zwei Millionen YouTube-Music-Clips sowie Inhalten von Deezer, Genius und weiteren Plattformen. Zusätzlich waren Kontaktdaten und Zahlungsinformationen von Kundinnen und Kunden einsehbar. Der Fall dürfte die laufenden Urheberrechtsklagen gegen Suno zusätzlich belasten.

Das Wichtigste in Kürze

  • Der geleakte Quellcode stammt aus den Jahren 2023 und 2024 und dokumentiert Sunos Datenbeschaffung im Detail.
  • Allein von YouTube Music wurden laut den Dateien mehr als zwei Millionen Clips mit rund 113.000 Stunden erfasst.
  • Auch Deezer, Genius, Pond5 sowie das Notenarchiv IMSLP tauchen in den Scraping-Listen auf.
  • Betroffen waren zudem Kontaktdaten und Teile von Zahlungsinformationen mehrerer hunderttausend Kundinnen und Kunden.
  • Der Zugriff reicht bis November 2025 zurück, informiert wurde damals offenbar niemand gezielt.
  • Universal Music Group und Sony Music haben ihre Klage inzwischen auf über 61.000 Songs ausgeweitet.

Ein Datenleck hat interne Quellcodes des KI-Musikdienstes Suno offengelegt, die dessen Trainingsdatenbeschaffung dokumentieren. Aus den Dateien geht laut 404 Media hervor, dass mehr als zwei Millionen Clips von YouTube Music sowie Inhalte von Deezer, Genius und weiteren Anbietern extrahiert wurden. Betroffen waren zudem persönliche Daten von Kundinnen und Kunden.

Quellcode zeigt systematisches Scraping mehrerer Plattformen

Der von 404 Media veröffentlichte Code stammt aus den Jahren 2023 und 2024 und enthält detaillierte Anweisungen zur Datensammlung. Interne Kommentare listen Plattform-Tags wie „youtube_music”, „deezer”, „genius_hq” und „jamendo” auf, ergänzt um den Hinweis, dass Nicht-Musik-Inhalte automatisch herausgefiltert würden. Allein von YouTube Music erfasste Suno demnach mehr als zwei Millionen Clips mit einer Gesamtlänge von rund 113.000 Stunden. Hinzu kommen 12.287 Stunden von Deezer, mehr als 17.000 Stunden von Genius sowie über 62.000 Stunden von der Stock-Plattform Pond5. Auch das Notenarchiv IMSLP und der Liedtext-Dienst MuseScore tauchen in den Listen auf. Diese Zahlen stammen aus dem gehackten Code und sind unabhängig nicht verifiziert.

Nach Angaben von TechCrunch verschaffte sich der Angreifer über eine Schadsoftware namens „Shai-Hulud” Zugang zu Zugangsdaten eines Mitarbeiters und darüber zum Quellcode. Der Code deutet zudem auf einen Versuch hin, über RSS-Feeds rund 420.000 Podcasts einzusammeln. Die Dateien widersprechen damit früheren Aussagen des Unternehmens, wonach zahlungspflichtige und geschützte Inhalte von der Datensammlung ausgenommen worden seien.

Suno bestätigt Sicherheitsvorfall bei Kundendaten

Suno bestätigte gegenüber TechCrunch einen Sicherheitsvorfall: Es habe sich um einen begrenzten, rasch eingedämmten Zwischenfall gehandelt. Nach dem Einbruch waren demnach auch Kontaktdaten von mehreren hunderttausend Kundinnen und Kunden einsehbar, darunter E-Mail-Adressen, Telefonnummern und Teile hinterlegter Zahlungsdaten aus dem Abrechnungssystem Stripe.

Der Zugriff auf die Systeme reicht bereits bis November 2025 zurück. Kundinnen und Kunden seien damals nicht gezielt über den Vorfall informiert worden. Erst die Veröffentlichung des Quellcodes durch 404 Media Mitte Juli 2026 machte das Ausmaß öffentlich. Das wirft zusätzliche Fragen zur Informationspolitik des Unternehmens auf, unabhängig von der eigentlichen Scraping-Praxis.

Die für den Einbruch verantwortliche Schadsoftware Shai-Hulud verbreitet sich typischerweise über kompromittierte npm-Pakete und hatte in den vergangenen Monaten bereits mehrere Technologieunternehmen getroffen. Wie viele der betroffenen Kundinnen und Kunden aus Europa stammen, teilte Suno nicht mit. Auch zur genauen Zahl der insgesamt eingesehenen Datensätze und zum aktuellen Stand interner Untersuchungen machte das Unternehmen bislang keine näheren Angaben.

Enthüllter Code befeuert Suno-Urheberrechtsklagen

Suno steht bereits seit 2024 wegen mutmaßlicher Urheberrechtsverletzungen vor Gericht. Universal Music Group und Sony Music klagen gemeinsam und warfen dem Unternehmen zunächst das Training an 560 geschützten Werken vor. Die Klageschrift wurde inzwischen auf mehr als 61.000 zusätzliche Songs ausgeweitet. Suno verteidigt sich mit Verweis auf die in den USA geltende Fair-Use-Doktrin für das Training von Modellen.

Warner Music Group einigte sich im November 2025 mit Suno und schloss stattdessen eine Lizenzvereinbarung. Das Musiklabel Jamendo reichte Ende Juni eine eigene Klage ein und fordert rund 17,8 Millionen Euro Schadenersatz. Der nun bekannt gewordene Quellcode dokumentiert erstmals im Detail, welche Plattformen konkret betroffen waren, und könnte damit in den laufenden Verfahren als zusätzliches Beweismaterial dienen.

Entscheidend wird, ob die Gerichte den gehackten Code überhaupt als Beweismittel zulassen und wie Suno die Diskrepanz zwischen eigenen Aussagen und den internen Dokumenten erklärt. Offen bleibt zudem, ob auch konkurrierende KI-Musikdienste wie Udio unter verschärfte Beobachtung geraten, nachdem ähnliche Vorwürfe bereits gegen sie erhoben wurden.

Häufige Fragen

Wurden Kundinnen und Kunden von Suno über das Datenleck informiert?

Suno hat den Sicherheitsvorfall gegenüber Medien bestätigt, eine gezielte Benachrichtigung aller Betroffenen ist öffentlich bislang nicht bekannt.

Welche rechtlichen Konsequenzen drohen Suno durch das Leck?

Der Quellcode könnte als zusätzliches Beweismittel in den laufenden Klagen von Universal Music Group, Sony Music und Jamendo dienen, eine gerichtliche Zulassung steht aber noch aus.

Was ist die Schadsoftware Shai-Hulud?

Shai-Hulud ist eine Schadsoftware, die sich über kompromittierte npm-Pakete verbreitet und in den vergangenen Monaten mehrere Technologieunternehmen betroffen hat.

Hat sich Suno zu den Scraping-Vorwürfen geäußert?

Suno verweist weiterhin darauf, dass geschützte und zahlungspflichtige Inhalte von der Datensammlung ausgenommen sein sollen, der geleakte Code widerspricht dem jedoch.

Ist Suno der einzige KI-Musikdienst mit solchen Vorwürfen?

Nein, auch der Konkurrent Udio sieht sich ähnlichen Vorwürfen wegen unautorisierten Trainings mit urheberrechtlich geschütztem Material ausgesetzt.


← Zurück zum Blog