A plataforma de música com IA Suno sofreu uma violação de dados em 2025, quando um hacker usando o verme Shai-Hulud invadiu os sistemas da empresa e vazou código-fonte interno revelando as origens dos dados usados no seu treinamento. Os arquivos vazados, noticiados primeiro pela 404 Media, documentam que a Suno fez scraping de mais de 113.879 horas do YouTube Music, 62.117 horas da biblioteca de mídia Pond5 e 12.287 horas do Deezer, entre outras fontes. A invasão também expôs e-mails e números de telefone de clientes, além de informações de pagamento da Stripe, para o que o hacker descreve como centenas de milhares de usuários. A Suno identificou o incidente em novembro de 2025 e o caracterizou como limitado, envolvendo principalmente código-fonte desatualizado. A violação oferece confirmação técnica de alegações que a Recording Industry Association of America fez em sua ação judicial de 2024 contra a Suno, que acusou a empresa de copiar músicas diretamente do YouTube — alegação contestada pela Suno com a defesa de uso justo.
Documentos vazados de código-fonte: fontes e escala dos dados de treinamento
O material vazado consiste em instruções de scraping e logs internos de 2023 e 2024. De acordo com comentários em arquivos internos revisados pela 404 Media, a biblioteca de treinamento incluía 113.879 horas do YouTube Music, 152.162 horas de faixas do YouTube com tags, 62.117 horas da Pond5, 12.287 horas do Deezer e 17.615 horas em um conjunto de dados rotulado como genius_hq, associado a material coletado via Genius. O código também registrou planos para baixar cerca de 1 milhão de horas de áudio de podcasts via feeds RSS. Um arquivo interno que acompanhava apenas a ingestão do YouTube Music registrou sozinho 2.013.545 clipes de música.
O hacker afirma ter usado um malware chamado de verme Shai-Hulud, nomeado em referência às criaturas de areia em Dune, de Frank Herbert. A Suno, uma das maiores geradoras de música com IA online, permite que os usuários digitem uma descrição em texto e recebam uma música completa em segundos. Construir essa capacidade exigiu uma base de treinamento substancial — uma coleção de arquivos de áudio usada para ensinar ao modelo como diferentes gêneros e estilos soam.
Suno reconhece violação envolvendo registros de clientes
O hacker alegou ter acessado registros associados a centenas de milhares de clientes, incluindo e-mails, números de telefone e informações relacionadas à Stripe. A Suno contesta que informações pessoais sensíveis tenham sido comprometidas. A empresa afirma ter identificado o incidente em novembro de 2025 e chamado de limitado. A Suno concluiu que a exposição envolveu principalmente código-fonte desatualizado e que não estava mais em uso, e determinou que notificações individuais de clientes não eram necessárias sob as leis de privacidade aplicáveis. Usuários estão descobrindo a violação por meio de cobertura jornalística.
A Suno já havia divulgado, sob a lei AB 2013 da Califórnia, que seus dados de treinamento podem incluir músicas sujeitas a proteção de propriedade intelectual e listou o acervo em dezenas de milhões de arquivos de áudio musical publicamente disponíveis. O que o hack acrescenta é especificidade — o processo legal foi vago por design, e o código vazado não é.
Alegações do processo da RIAA corroboradas por arquivos vazados
A Recording Industry Association of America alegou, em uma emenda de 2025 à sua ação original de 2024 contra a Suno, que a empresa estava copiando músicas diretamente do YouTube. O processo busca US$ 150.000 por incidente de violação. O código-fonte vazado corrobora a alegação central da RIAA. O caso da Suno com Sony e UMG permanece ativo na Justiça federal. A avaliação da empresa fica em US$ 5,4 bilhões, com cerca de 100 milhões de usuários na plataforma.
A Udio, que foi alvo em um processo paralelo movido pela mesma coalizão de grandes gravadoras, fechou um acordo com a Warner Music em novembro de 2025 e está se transferindo para uma plataforma licenciada. Em junho de 2026, The Atlantic publicou quatro bases de dados pesquisáveis documentando músicas usadas para treinar modelos de IA — uma com 12 milhões de faixas, outra com 9 milhões, e mais duas com cerca de 100.000 cada.
Perguntas Frequentes
Que dados a violação da Suno expôs em 2025?
A violação expôs código-fonte interno documentando que a Suno fez scraping de 113.879 horas do YouTube Music, 62.117 horas da Pond5, 12.287 horas do Deezer e outras fontes. O hacker também alegou ter acessado e-mails de clientes, números de telefone e informações de pagamento da Stripe para centenas de milhares de usuários.
Quando a Suno identificou o incidente de segurança?
A Suno identificou o incidente em novembro de 2025 e o caracterizou como limitado, envolvendo principalmente código-fonte desatualizado que não estava mais em uso. A empresa concluiu que notificações individuais de clientes não eram necessárias sob as leis de privacidade aplicáveis.
Como a violação se relaciona com o processo da RIAA contra a Suno?
O código-fonte vazado corrobora a alegação da Recording Industry Association of America em sua ação de 2024 de que a Suno copiou músicas diretamente do YouTube. O processo busca US$ 150.000 por incidente de violação e permanece ativo na Justiça federal com Sony e UMG.