A empresa de inteligência artificial Suno, conhecida por criar músicas geradas por IA, sofreu uma invasão cibernética que expôs detalhes sobre suas práticas de coleta de dados. O hacker obteve acesso a informações relacionadas aos métodos de treinamento dos algoritmos da plataforma, além de dados sobre clientes.
De acordo com relatório publicado pelo site 404 Media, o invasor conseguiu dados indicando que a Suno coletou músicas e letras de plataformas como YouTube Music, Deezer e Genius, além de bibliotecas de música royalty-free. A empresa allegedly utilizou serviços proxy para extrair conteúdo do YouTube, incluindo versões a cappella de canções. Também foram utilizados feeds RSS para coletar centenas de milhares de podcasts.
A Suno enfrenta uma ação judicial por violação de direitos autorais movida por gravadoras nos Estados Unidos. No final do ano passado, a Warner Music Group saiu do processo após fechar um acordo de licenciamento com a empresa. Em 2024, a Suno admitiu em documento judicial que seus sistemas coletaram "dezenas de milhões de gravações" da internet para usar como dados de treinamento, argumentando que essa prática constituía "uso justo" sob a lei de direitos autorais.
Para obter os dados, o hacker afirmou ter utilizado um worm que atingiu um funcionário da Suno, permitindo acesso às credenciais de GitHub e serviços de nuvem. Além dos detalhes sobre as práticas de coleta de música, o invasor obteve a lista de clientes da empresa, que contém informações sobre centenas de milhares de usuários, incluindo endereços de e-mail e números de telefone.
A Suno confirmou a invasão em comunicado. Um porta-voz afirmou que a empresa possui sistemas para tentar impedir que usuários repliquem músicas existentes de artistas. O comunicado disse: "Conforme declarado em divulgações públicas, os modelos de IA da Suno foram treinados em arquivos de música disponíveis publicamente e metadados relacionados acessíveis em sites de terceiros na internet aberta. Em novembro de 2025, determinamos que a Suno foi alvo de um incidente de segurança limitado que foi rapidamente contido. Na época, conduzimos uma investigação e verificamos que o incidente envolveu principalmente código fonte desatualizado que não está mais em uso na Suno e que nenhuma informação pessoal sensível foi comprometida."
