Хакер под ником ellie.191 взломал системы Suno через непропатченный npm-червь Shai-Hulud и получил доступ к базе клиентов сервиса — email, номера телефонов, платёжные данные Stripe.
Слитый исходный код показывает, что Suno собрала свыше 380 000 часов музыки и текстов с YouTube Music, Deezer, Genius и других площадок — около 43 лет непрерывного аудио.
Для обхода защиты YouTube от скачивания сервис использовал прокси-сеть Bright Data, что открывает Suno второй судебный фронт — уже по статье DMCA об обходе технических средств защиты, где нет исключения для добросовестного использования.
Компания не уведомила ни одного пострадавшего клиента, назвав инцидент "ограниченным", хотя о взломе знает с ноября 2025 года.
Источник изображения: bella1105/Shutterstock
Сервис генерации музыки на основе искусственного интеллекта Suno подвергся взлому. Как выяснило издание 404 Media, неизвестный хакер получил доступ не только к внутреннему исходному коду компании, но и к базе данных её клиентов. Утечка проливает свет на то, как именно Suno собирала материал для обучения своих моделей — вопрос, который уже второй год разбирают суды трёх континентов.
Как произошёл взлом
Хакер, представившийся под ником ellie.191, рассказал 404 Media, что проник в системы Suno через цепочку поставок npm-пакетов — самовоспроизводящийся червь Shai-Hulud заразил окружение разработчика при установке зависимостей. Этот вредонос ещё в сентябре 2025 года, за два месяца до атаки на Suno, публично описали специалисты Unit 42 из Palo Alto Networks, но компания на момент взлома уязвимость так и не устранила.
Червь похищает токены доступа к GitHub и учётные данные облачных сервисов. Получив их, ellie.191 добрался до закрытых репозиториев и облачной инфраструктуры Suno, откуда скачал исходный код 2023–2024 годов и клиентскую базу. Мотив хакер объяснил без затей — интерес к взлому как таковому, безотносительно конкретной цели.
Что рассказал исходный код о сборе данных
Утёкшие файлы содержат подробную опись источников, из которых Suno годами собирала музыку, тексты и подкасты. Комментарии в коде указывают объём собранного материала по каждой площадке:
- YouTube Music (с тегами) — 152 162 часа
- YouTube Music — 113 879 часов, свыше 2 млн отдельных фрагментов
- Pond5 (библиотека стоковой музыки) — 62 117 часов
- IMSLP (International Music Score Library Project) — 19 514 часов
- Genius (тексты и аудио) — 17 615 часов
- Deezer — 12 287 часов
- Jamendo — 3 726 часов
- Freesound — 410 часов
- MuseScore — 103 часа
В сумме это свыше 380 000 часов музыки — около 43 лет непрерывного звучания. Отдельно код показывает, что система целенаправленно искала на YouTube акапельные версии композиций — чистые вокальные дорожки без инструментала, — а через сервис PodcastIndex составила список из 420 000 подкастов с прицелом на загрузку около миллиона часов их аудио.
Для обхода защиты YouTube от массового автоматического скачивания Suno, судя по коду, прогоняла запросы через коммерческую прокси-сеть Bright Data с ротацией IP-адресов. Деталь важна не только для спора о добросовестном использовании: в законодательстве США есть отдельная норма — раздел 1201 закона DMCA, — которая запрещает обход технических средств защиты авторских прав сам по себе, независимо от того, что происходит с материалом дальше, и без исключения для fair use.
Что случилось с данными пользователей
Помимо исходного кода, ellie.191 получил доступ к клиентской базе Suno — речь о сотнях тысяч пользователей. В руках хакера оказались адреса электронной почты, номера телефонов и данные платежей через Stripe. Полными номерами банковских карт Suno, по заявлению компании, не располагает — их хранит сам платёжный провайдер.
Компания квалифицировала инцидент как «ограниченный» и не отправила ни одного персонального уведомления. Опрошенные 404 Media пользователи подтвердили, что писем от Suno не получали. При этом штат Массачусетс, где зарегистрирована компания, обязывает уведомлять жителей штата, чьи email или телефон стали доступны посторонним при утечке, — так что решение обойтись без индивидуальных писем юристы называют спорным с точки зрения местного законодательства.
Судебный контекст
Взлом пришёлся на фоне серии исков от звукозаписывающих лейблов. Warner Music Group вышла из разбирательства ещё в ноябре 2025 года, заключив с Suno лицензионное соглашение: помимо прочего, Suno получила принадлежащую Warner платформу для поиска концертов Songkick и обязалась выпустить легальные модели на каталоге лейбла. Universal Music и Sony Music продолжают судиться — в мае 2026 года они добивались расширения иска с изначальных 560 произведений до 61 026 конкретно идентифицированных записей, что по максимальной ставке компенсации в 150 000 долларов за произведение теоретически поднимает планку выплат до девяти миллиардов долларов.
Рассмотрение ключевых ходатайств в федеральном суде Массачусетса перенесено на апрель 2027 года. Раньше может появиться решение в Мюнхене: 31 июля 2026 года там ожидается вердикт по иску немецкого общества по управлению правами GEMA к Suno, и в случае победы GEMA решение можно будет привести в исполнение в Европе немедленно, не дожидаясь апелляций. Отдельный иск подала и датская организация Koda, назвавшая практику Suno крупнейшей кражей в истории музыкальной индустрии. Сама Suno при этом продолжает расти: в июне 2026 года компания привлекла 400 млн долларов инвестиций при оценке в 5,4 млрд долларов.
Официальный ответ Suno
Компания подтвердила факт взлома изданию 404 Media, но настаивает на его ограниченном характере. В заявлении представителя Suno говорится:
Как мы указывали в публичных заявлениях и судебных документах, модели ИИ Suno обучены на общедоступных музыкальных файлах и связанных с ними метаданных, размещённых на сторонних сайтах в открытом интернете. В ноябре 2025 года мы установили, что Suno стала объектом ограниченного инцидента безопасности, который был быстро локализован. Расследование подтвердило, что инцидент затронул в основном устаревший исходный код, уже не используемый в работе компании, и что конфиденциальная личная информация не была скомпрометирована — в частности, у Suno нет доступа к полным номерам банковских карт клиентов в Stripe. Учитывая ограниченный характер затронутых данных, мы сочли, что индивидуальные уведомления не требуются в соответствии с применимым законодательством о защите персональных данных.
В компании также подчёркивают, что из метаданных для обучения намеренно исключены имена артистов, а в сам сервис встроены фильтры, блокирующие запросы с прямым упоминанием конкретных исполнителей или названий песен — эту конструкцию Suno называет «оригинальным творчеством по дизайну» и использует как один из аргументов защиты в суде.
Главный вопрос — законно ли обучать музыкальные нейросети на чужих записях без лицензии — получит первый судебный ответ уже 31 июля в Мюнхене. А для пользователей Suno из СНГ, чьи данные наравне с остальными могли попасть в утечку, история — лишний повод сменить пароль и настороженно отнестись к любым письмам, якобы пришедшим от сервиса.

















