Хакер сообщил изданию, что в ноябре 2025 года он использовал атаку на цепочку поставок, чтобы получить учётные данные сотрудника Suno. Это позволило злоумышленнику проникнуть в исходный код и увидеть, каким образом сервис, предположительно, на протяжении десятилетий собирал аудиоматериалы из YouTube Music, Deezer, Genius, библиотек стоковой музыки и RSS-лент подкастов.
Ранее Suno признавала, что обучает свою нейросеть на «общедоступных музыкальных файлах» из открытого интернета, настаивая на допустимости такой практики в рамках доктрины добросовестного использования (fair use) — неоднозначного исключения из закона об авторском праве. Однако, по мнению крупных звукозаписывающих лейблов, которые активно судятся с компанией, намеренный обход технических средств защиты YouTube от сбора данных нарушает Закон об авторском праве в цифровую эпоху (DMCA), а также противоречит условиям использования самого видеохостинга.
Похожие обвинения в адрес конкурента Suno — сервиса Udio — также касаются несанкционированного сбора данных с YouTube. При этом материнская компания Google, владеющая YouTube, сталкивается с зеркальными исками о нарушении авторских прав со стороны ряда крупных книжных издательств.
В ходе инцидента хакер получил доступ к клиентским данным, включая адреса электронной почты, номера телефонов и частичные данные кредитных карт, хранившиеся в системе Stripe. Suno не стала уведомлять пользователей об утечке, произошедшей в ноябре 2025 года, и охарактеризовала произошедшее как «ограниченный инцидент безопасности, который был быстро локализован».