Die Plattform für Erwachsenen-Inhalte Pornhub steht im Zentrum eines der heikelsten Datenschutzvorfälle der letzten Jahre: Die Hackergruppe ShinyHunters behauptet, detaillierte Analysedaten von Pornhub-Premium-Nutzern erbeutet zu haben – darunter Suchverläufe, Video-Historien und weitere Verhaltensdaten. Grundlage der Attacke ist nach aktuellen Berichten die bereits bekannte Kompromittierung des Analytics-Dienstleisters Mixpanel im November 2025.
Wie Mixpanel zum Einfallstor für das Pornhub-Datenleck wurde
Pornhub bestätigte, dass ein Teil der Premium-Nutzer von dem Vorfall betroffen ist, betonte jedoch, dass die eigene Kerninfrastruktur nicht direkt gehackt wurde. Stattdessen sprechen die Indikatoren für eine klassische Supply-Chain-Attacke: Angreifer kompromittierten Mixpanel und griffen dort auf historische Analysedaten zu, die Pornhub bis 2021 an den Dienst übermittelt hatte.
Nach Unternehmensangaben wurden dabei keine Zugangsdaten, Passwörter oder Zahlungsinformationen von Pornhub-Kunden offengelegt. Kritisch ist jedoch, dass die bei Mixpanel verbliebenen „Alt-Daten“ bis einschließlich 2021 offenbar in großem Umfang ausgewertet und exfiltriert wurden – ein Beispiel dafür, wie einmal geteilte Informationen bei Drittanbietern langfristig ein Risiko darstellen.
Umfang der gestohlenen Pornhub-Analysedaten
ShinyHunters gibt an, 94 GB an Daten entwendet zu haben, die nach eigener Darstellung über 200 Millionen Einträge enthalten. Konkret sprechen die Angreifer von 201.211.943 Analytik-Ereignissen, die sich auf Pornhub-Premium-Nutzer beziehen sollen. Diese Events bilden detaillierte Aktivitätsmuster ab – von der Suche bis zur Interaktion mit einzelnen Videos.
Beispieldaten zeigen, dass die an Mixpanel übermittelten Ereignisse unter anderem E-Mail-Adressen, Art der Aktivität (z. B. Ansicht, Download), ungefähre Geolokation, URL und Titel des Videos, Suchbegriffe sowie Zeitstempel enthalten können. Zwar handelt es sich dabei nicht um klassische Finanzdaten, doch die Kombination aus Identifikatoren und Verhaltensprofilen erlaubt mit hoher Wahrscheinlichkeit eine Zuordnung zu realen Personen – insbesondere im Abgleich mit anderen Datenlecks und Social-Media-Profilen.
Warum Porno-Suchverläufe besonders sensible Daten sind
Der Besuch von Websites mit Erwachsenen-Inhalten zählt zu den sensibelsten Kategorien personenbezogener Informationen. Während eine kompromittierte Kreditkarte ersetzt werden kann, sind Rufschäden und psychische Belastungen durch offengelegte intime Vorlieben kaum reversibel. Angreifer können E-Mail-Adressen, Zeitstempel und IP-ähnliche Informationen nutzen, um Profile mit anderen Leaks, beruflichen Konten oder Social-Media-Auftritten zu verknüpfen – ein Nährboden für Erpressung, Stalking und gezielte Social-Engineering-Angriffe.
ShinyHunters und der Trend zu reiner Daten-Erpressung
ShinyHunters ist bereits durch mehrere Großvorfälle in Erscheinung getreten. Sicherheitsexperten bringen die Gruppe unter anderem mit der Ausnutzung einer Zero-Day-Schwachstelle in Oracle E-Business Suite (CVE-2025-61884) sowie Angriffen auf Salesforce– und Drift-Umgebungen in Verbindung, die zahlreiche Organisationen weltweit betrafen. Ebenfalls berichtet wurde über eine Kompromittierung von Gainsight, das eng mit Salesforce integriert ist und Kundendaten verarbeitet.
Branchenquellen zufolge baut ShinyHunters ein eigenes Ransomware-as-a-Service (RaaS)-Ökosystem unter der Marke ShinySp1d3r auf und löst sich schrittweise von etablierten Ransomware-Familien wie ALPHV/BlackCat, RansomHub, Qilin oder DragonForce. Im Fall Mixpanel–Pornhub setzen die Täter jedoch auf einen zunehmend verbreiteten Ansatz: reine Daten-Erpressung ohne Verschlüsselung. Anstatt Systeme lahmzulegen, drohen sie mit der Veröffentlichung sensibler Informationen – besonders wirksam bei intim besetzten Datensätzen.
SMS-Phishing als Einstieg und Schwachstelle Mensch
Mixpanel berichtete, dass die eigene Kompromittierung auf SMS-Phishing (Smishing) zurückzuführen ist, das am 9. November 2025 entdeckt wurde. Angriffe über private Smartphones, Messenger und SMS sind besonders tückisch: Nutzer rechnen dort seltener mit Angriffen als in der Firmen-Mailbox, während Mobilgeräte oft schlechter abgesichert sind.
Studien wie der IBM Cost of a Data Breach Report und der Verizon Data Breach Investigations Report (DBIR) zeigen seit Jahren, dass Social Engineering und kompromittierte Partner zu den zentralen Einfallstoren für Datenlecks zählen. Ein erheblicher Anteil der untersuchten Vorfälle entsteht über die Lieferkette – also Dienstleister, die Kundendaten im Auftrag verarbeiten.
Lehren für Unternehmen: Datenminimierung und strenges Lieferketten-Management
Der Pornhub–Mixpanel-Fall verdeutlicht mehrere Grundprinzipien moderner Cybersecurity und Compliance:
1. Datenminimierung konsequent umsetzen. Drittanbieter sollten nur die Daten erhalten, die für den jeweiligen Zweck zwingend erforderlich sind. Wo möglich, sollten Pseudonymisierung, Depersonalisierung und das Entfernen direkter Identifikatoren (wie vollständige E-Mails) Standard sein. Gerade im Bereich Nutzertracking ist es häufig technisch möglich, Verhalten zu analysieren, ohne reale Identitäten sichtbar zu machen.
2. Lieferanten-Risiko aktiv steuern. Verträge mit Analytics-, Marketing- und CRM-Anbietern müssen klare Anforderungen an Informationssicherheit und Datenschutz enthalten (z. B. DPA, SLA, technische und organisatorische Maßnahmen). Ergänzend sind regelmäßige Audits, Sicherheitsfragebögen, Penetrationstests und die Überprüfung vergangener Sicherheitsvorfälle sinnvoll, um die tatsächliche Resilienz der Partner einzuschätzen.
3. Schutz vor Social Engineering im Mobilkanal stärken. Sicherheitsbewusstsein darf sich nicht auf E-Mails beschränken. Unternehmen sollten Mitarbeiter gezielt zu Smishing und Messenger-Betrug schulen, Multi-Faktor-Authentifizierung einsetzen und kritische Admin-Aktionen nur über abgesicherte Kanäle zulassen. Wo möglich, sollten einfache SMS-TAN-Verfahren durch robustere Authentifizierungslösungen ersetzt werden.
Der Vorfall macht deutlich, dass die Privatheit von Nutzern nicht allein von der Sicherheit des „Hauptdienstes“ abhängt, sondern von einem Netz aus Integrationen und Dienstleistern im Hintergrund. Unternehmen sind gut beraten, den Umfang ihrer Analytik zu überprüfen, unnötige Identifikatoren zu entfernen und striktere Kontrollmechanismen für ihre Lieferkette einzuführen. Nutzer wiederum sollten sorgsam abwägen, welche Dienste sie mit ihrer primären E-Mail-Adresse verknüpfen und wie viele digitale Spuren sie im Alltag hinterlassen. Je weniger überflüssige Daten existieren, desto schwerer fällt es Angreifern, aus einem einzelnen Hack eine existenzbedrohende Erpressung zu machen.
