Das mutmaßliche Pornhub-Datenleck, bei dem Suchanfragen und Verlauf von Premium-Abonnenten betroffen sein sollen, hat die Diskussion um Datenschutz und Cybersicherheit schlagartig verschärft. Besonders brisant ist die Verknüpfung mit dem kompromittierten Analytics-Dienst Mixpanel und der berüchtigten Erpressergruppe ShinyHunters, die sich auf Datendiebstahl und anschließende Lösegeldforderungen spezialisiert hat.
Pornhub vs. Mixpanel: Wer trägt Verantwortung für die geleakten Analytics-Daten?
Mixpanel weist eine direkte Verantwortung für die vermeintlich geleakten Pornhub-Daten entschieden zurück. Das Unternehmen betont, es gebe keine Hinweise darauf, dass beim SMS‑Phishing‑Vorfall im November 2025 Analytics-Daten von Pornhub entwendet wurden. Zudem habe Pornhub die Nutzung von Mixpanel bereits im Jahr 2021 eingestellt; in der Plattform könnten daher höchstens historische Daten bis einschließlich 2021 vorhanden gewesen sein.
Nach Angaben von Mixpanel wurde der letzte legitime Zugriff auf relevante Pornhub-Analysedaten im Jahr 2023 über ein Konto eines Mitarbeiters der Muttergesellschaft Aylo registriert. Pornhub selbst passte seine öffentlichen Stellungnahmen mehrfach an: Zunächst wurden andere große Digitalanbieter als ebenfalls betroffen erwähnt, diese Passagen wurden später entfernt. In der aktuellen Version spricht das Unternehmen von einem unautorisierten Zugriff auf bei Mixpanel gespeicherte Analytics-Ereignisse, betont aber, dass keine Passwörter, Zahlungsdaten oder Ausweisdokumente kompromittiert seien.
Mixpanel-Hack durch SMS‑Phishing: Wie Smishing Analytics-Dienste angreifbar macht
Der Angriff auf Mixpanel wurde am 9. November 2025 entdeckt und lief als gezielte SMS‑Phishing-Kampagne (Smishing). Angreifer gaben sich als vertrauenswürdige Dienste aus und verleiteten Mitarbeitende dazu, auf manipulierte Links zu klicken und Zugangsdaten preiszugeben. In der Folge räumte Mixpanel die Kompromittierung eines Teils der Infrastruktur und einer begrenzten Zahl von Kunden ein, nannte aber keine technischen Details.
Berichten zufolge gehörten zu den betroffenen Kunden unter anderem OpenAI und CoinTracker. Pornhub brachte seine eigene Datenpanne zunächst direkt mit dem Mixpanel-Vorfall in Verbindung. In der überarbeiteten Kommunikation lässt die Formulierung jedoch offen, ob der Zugriff über einen kompromittierten Mitarbeiteraccount oder einen anderen Vektor erfolgte. Aus Sicht der Incident-Response-Praxis deutet vieles auf eine Kompromittierung legitimer Zugangsdaten hin – ein Muster, das auch Branchenberichte wie der Verizon Data Breach Investigations Report seit Jahren als häufigste Ursache für Datenschutzvorfälle ausweisen.
ShinyHunters und 94 GB Daten: Umfang und Charakter des Pornhub-Leaks
Nach Recherchen von Bleeping Computer steckt die Gruppe ShinyHunters hinter dem Angriff auf Mixpanel und dem anschließenden Erpressungsversuch gegenüber Kunden. Die Gruppe verschickt E-Mails mit Lösegeldforderungen und droht, die erbeuteten Datensätze zu veröffentlichen. Gegenüber Pornhub behaupteten die Täter, sie hätten 94 GB an Daten entwendet, darunter über 200 Millionen Datensätze mit personenbezogenen Informationen.
Später konkretisierten die Angreifer die Zahl auf 201.211.943 Datensätze, die angeblich Suchanfragen, Videoaufrufe und Downloads von Pornhub-Premium-Nutzern enthalten. Quellen wie The Register berichten, die Struktur der Daten ähnele einem „typischen Analytics-Export“ aus einem Unternehmenssystem. Das stützt die Hypothese, dass die Angreifer keinen komplexen Exploit in der Infrastruktur von Mixpanel oder Pornhub benötigten, sondern über einen bereits hoch privilegierten legitimen Zugang große Datenmengen exportierten.
Expertenanalyse: Zentrale Sicherheitslehren aus dem Pornhub-Datenleck
Drittanbieter-Analytics als Risiko in der Supply Chain
Der Fall verdeutlicht, dass Analytics- und Marketing-Plattformen häufig sehr detaillierte Nutzungsdaten verarbeiten, in Sicherheitsstrategien jedoch oft als Nebenakteure betrachtet werden. Tatsächlich sind sie Teil der Supply Chain eines Unternehmens und werden zu attraktiven Angriffszielen. Organisationen sollten daher Datenminimierung betreiben, Auftragsverarbeitungsverträge schärfen und Drittanbieter regelmäßig sicherheitsauditiert lassen – insbesondere, wenn sensible Verhaltensdaten verarbeitet werden.
Privilegierte Konten und der Faktor Mensch
Die mutmaßliche Nutzung eines Mitarbeiterkontos zeigt die Risiken unzureichend geschützter privilegierter Accounts. Ohne strikte Rechtevergabe, Limitierung von Datenexporten, konsequente Multi-Faktor-Authentifizierung und verhaltensbasierte Anomalieerkennung können solche Konten leicht zum Einfallstor werden. Phishing – einschließlich SMS‑Phishing – bleibt dabei einer der erfolgreichsten Angriffsvektoren, während parallel das Risiko bewusster Insiderhandlungen durch finanzielle Anreize wächst.
Data Theft & Extortion statt klassischer Ransomware
Gruppen wie ShinyHunters illustrieren den Trend zu „reinen“ Datendiebstahl‑ und Erpressungskampagnen, bei denen auf Ransomware-Verschlüsselung verzichtet wird. Für Angreifer sinkt dadurch der operative Aufwand, gleichzeitig steigt der Druck auf Opfer, da schon die Androhung der Veröffentlichung sensibler Daten erheblichen Reputationsschaden verursachen kann. Für Verteidiger bedeutet das: Fokus auf frühe Erkennung von Datenabflüssen, Netzwerksegmentierung und strenge Protokollierung von Exportvorgängen.
Kommunikation als Teil der Cyber-Resilienz
Die wiederholt angepassten öffentlichen Statements von Pornhub illustrieren, wie wichtig klare, konsistente und transparente Kommunikation im Incident-Response-Fall ist. Widersprüchliche Angaben schaden der Glaubwürdigkeit, erschweren die forensische Aufarbeitung und verunsichern Nutzer. Best Practices verlangen vorbereitete Kommunikationspläne, abgestimmte Botschaften mit Dienstleistern sowie eine schnelle, faktenbasierte Information der Betroffenen.
Unternehmen – insbesondere in stark regulierten und sensiblen Branchen wie Adult-Entertainment, FinTech oder Gesundheitswesen – sollten den Vorfall zum Anlass nehmen, ihre Zero-Trust-Architektur, den Schutz privilegierter Konten, Anti‑Phishing-Schulungen und das Lieferketten-Risikomanagement zu überprüfen. Wer jetzt Datenflüsse zu Analytics-Diensten reduziert, Zugriffsrechte konsequent härtet, MFA obligatorisch macht und Exporte eng überwacht, senkt das Risiko, im nächsten großen Datenleck-Schlagzeilen selbst im Mittelpunkt zu stehen.
