Suno’nun bir hacking olayı sırasında elde edilen veriler, AI müzik üreticisinin birçok şarkı ve sözünü YouTube Music, Deezer ve Genius gibi çevrimiçi platformlardan scraping yaparak eğitildiğini ortaya koydu. Suno’nun eğitim veri setlerinde neler olduğu ve bu verilerin nasıl elde edildiği konusundaki belirsizlik, şirketin çevrimiçi platformlardan ne tür içerik aldığını gösteren nadir bir örnek sunuyor.
Bu durum oldukça önemli, çünkü Suno, telif hakkı korunan materyalleri AI modellerini eğitmek için kullandığı iddialarıyla çeşitli davaların odak noktası haline geldi. Recording Industry Association of America (RIAA) tarafından açılan önemli bir davada, Suno bu uygulamayı açıkça kabul etti ve telif hakkı korunan materyallerle birlikte kamusal olarak erişilebilen müzik dosyaları üzerinde eğitim yapmanın adil kullanım doktrini kapsamında yasal olarak mümkün olduğunu savundu. Ancak mahkemenin bunu kabul edip etmeyeceği bilinmiyor; geçen yıl RIAA tarafından sunulan bir düzeltme talepleri, Suno’nun YouTube’un telif hakkı korumalarını yasadışı bir şekilde aşarak platformdan şarkıları “stream ripping” yöntemiyle çektiğini öne sürdü.
Saldırgan tarafından 404 Media‘ya sağlanan materyaller, bu iddiaları destekler nitelikte. Veriler, 2023 ve 2024 tarihli Suno kaynak kodunu ve YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound ve International Music Score Library Project (IMSLP) gibi platformlardan ses dosyalarını çekmek için verilen scraping talimatlarını içeriyor. Diğer sızan kodların, Suno’nun YouTube’dan müzik çekmek için Bright Data adlı bir üçüncü taraf şirketi kullandığını ve platform üzerindeki a cappella versiyonları arayarak yalnızca vokal sesleri kaynak olarak kullandığını gösterdiği bildiriliyor.
YouTube Music için hazırlanan bir dosyada, Suno’nun en son güncellendiği noktada 2,013,545 YouTube Music klibini kullandığı belirtiliyor. Başka bir dosyaya göre, Suno’nun derlediği veri setleri, YouTube Music’ten yüz binlerce saat, Deezer, Genius, IMSLP, Jamendo ve Pond5’ten binlerce saat ile Freesound ve MuseScore’dan yüzlerce saatlik şarkı sözlerini içeriyor. Ek kodlar, Suno’nun PodcastIndex adı verilen çevrimiçi bir araç aracılığıyla yaklaşık bir milyon saatlik podcast indirilmeye çalışıldığını da gösteriyor.
Bir Suno sözcüsü, “Kamusal belgelerde ve açıklamalarda belirttiğimiz gibi, Suno’nun AI modelleri, açık internet üzerindeki üçüncü taraf web sitelerinde erişilebilen, kamuya açık müzik dosyaları ve ilgili meta verilerle eğitilmiştir,” şeklinde bir açıklamada bulundu.
Saldırgan, Suno müşteri bilgilerine de erişti; bu bilgiler arasında e-posta adresleri, telefon numaraları ve Stripe ödeme bilgilerinin yer aldığı bildirildi. 404 Media ile iletişime geçen bazı müşteriler, Suno’nun hizmetine kayıt olduklarını doğruladı ve Suno’nun kendilerine bir güvenlik ihlali hakkında bildirimde bulunmadığını belirtti.
Bir Suno temsilcisi, 404 Media ile yaptığı açıklamada, şirketin Kasım 2025’te bir güvenlik olayı fark ettiğini ve durumun hızla kontrol altına alındığını belirtti.
Temsilci, “O sırada derhal bir soruşturma gerçekleştirdik ve olayın esasen artık Suno’da kullanılmayan eski kaynak kodunu içerdiğini ve hiçbir hassas kişisel bilginin tehlikeye girmediğini doğruladık. Önemli olarak, Suno müşteri tam kredi kartı numaralarına Stripe üzerinden erişim sağlamamaktadır,” dedi. “İlgili müşteri bilgileri göz önüne alındığında, bireysel bildirimlerin geçerli gizlilik yasalarına dayanarak gerekli olmadığına karar verdik.”

