全球知名成人網站 Pornhub 早前證實,旗下付費訂閱服務 Pornhub Premium 出現大規模資料外洩,黑客組織 ShinyHunters 聲稱竊取 94GB 數據,涉及超過 2 億條用戶觀看記錄。
事件源於第三方數據分析供應商 Mixpanel 於 2025 年 11 月 8 日遭受 SMS 釣魚攻擊,黑客透過入侵 Pornhub 母公司 Aylo 員工帳號登入系統獲取資料。Pornhub 於 12 月 12 日公開確認受影響,強調其本身系統未被攻擊,密碼、支付資料及政府身份證明文件並未外洩。
外洩資料主要影響 Pornhub Premium 付費訂閱用戶,內容包括電郵地址、觀看影片記錄、影片 URL、影片名稱、相關關鍵字、主動搜尋記錄、地理位置、活動類型及時間戳記等敏感資訊。據 Bleeping Computer 報道,ShinyHunters 向該媒體提供樣本數據,證實資料包含用戶完整觀看偏好。任何取得資料的人只需輸入電郵地址,即可查看對應用戶的成人影片觀看習慣,對用戶私隱構成嚴重威脅。
外洩資料為 2021 年或更早期間的分析數據,而 Pornhub 表示已於 2021 年停止與 Mixpanel 合作,但舊有數據仍儲存於 Mixpanel 系統中。Mixpanel 則回應指,數據最後一次被 Pornhub 母公司 Aylo 員工帳號合法存取是在 2023 年,強調是次外洩並非源於其系統漏洞。
ShinyHunters 已向 Pornhub 發出勒索要求,以 Bitcoin 作為贖金換取不公開資料,但 Pornhub 拒絕支付。黑客組織隨後威脅直接聯絡受影響用戶,透過電郵聲稱已掌握其個人資料及觀看記錄,藉此向個別用戶索取贖金。Pornhub 已更新安全公告,提醒用戶絕對不會透過電郵索取密碼或支付資料,呼籲用戶提高警覺,切勿回應任何勒索要求。
網絡保安專家警告,即使用戶支付贖金,黑客亦未必會履行承諾刪除資料。資料一旦落入不法分子手中,極可能被轉售或用於後續勒索,形成完整的勒索產業鏈。受影響用戶面臨被勒索、釣魚攻擊、身份盜用及聲譽受損等多重風險。
是次 Mixpanel 資料外洩事件影響範圍廣泛,除 Pornhub 外,OpenAI、Google、ChatGPT 及 CoinTracker 等知名企業亦確認受影響。Mixpanel 於 11 月 8 日偵測到 SMS 釣魚攻擊,黑客透過此方式入侵系統,但該公司試圖淡化事件嚴重性,聲稱只影響有限數量客戶。ShinyHunters 近年頻繁發動類似攻擊,專門竊取敏感數據並在地下市場出售或進行勒索。Pornhub 已聯同網絡保安專家展開內部調查,並已通報執法機構。
來源:Pornhub