Платформа для взрослых Pornhub столкнулась с одним из наиболее чувствительных инцидентов приватности последних лет: хакерская группировка ShinyHunters заявляет, что получила доступ к историям просмотров, поисковым запросам и иным поведенческим данным премиум-подписчиков. По данным BleepingComputer, злоумышленники связали атаку с компрометацией аналитического сервиса Mixpanel, произошедшей в ноябре 2025 года, и начали вымогательскую кампанию против клиентов сервиса.
Как связаны Pornhub, Mixpanel и взлом 2025 года
Представители Pornhub подтвердили, что инцидент затронул часть пользователей Pornhub Premium, однако подчеркнули: речь идет не о прямом взломе инфраструктуры самого Pornhub. Компания указала, что утечка стала следствием компрометации Mixpanel 8 ноября 2025 года. По заявлениям Pornhub, учетные записи, пароли, платежные реквизиты и финансовые данные клиентов не были скомпрометированы.
Pornhub предпринимал интеграцию с Mixpanel до 2021 года для сбора аналитики пользовательской активности. После прекращения сотрудничества, по словам компании, у Mixpanel оставались только исторические данные до 2021 года включительно. Именно эти «наследованные» аналитические события и оказались в руках хакеров. Это классический пример того, как данные, переданные стороннему подрядчику в прошлом, продолжают создавать риск, даже если партнерство уже давно завершено.
Масштаб и содержание похищенных данных
В письме Pornhub вымогатели из ShinyHunters заявили о краже 94 ГБ данных, что, по их оценке, соответствует более чем 200 млн записей. В дальнейшем они уточнили журналистам, что располагают 201 211 943 аналитическими событиями, связанными с премиум-пользователями Pornhub. Эти события включают историю поиска, просмотров и загрузок контента.
Предоставленные хакерами образцы указывают, что события, отправлявшиеся в Mixpanel, могли содержать крайне чувствительные элементы: email-адрес подписчика, тип активности (просмотр, скачивание, просмотр канала), геолокацию, URL и название конкретного видео, поисковые ключевые слова, а также временные метки. Хотя это не «классические» персональные данные в банковском смысле, комбинация таких полей позволяет потенциально деанонимизировать пользователя и привязать его реальную личность к конкретной истории просмотров.
Почему история просмотров и поисковые запросы столь критичны для приватности
История посещений сайтов для взрослых относится к одной из наиболее чувствительных категорий данных. В отличие от номера карты, который можно перевыпустить, репутационные и психологические последствия раскрытия интимных предпочтений необратимы. При наличии email-адреса и временных меток становится возможным сопоставление с утечками из других сервисов, социальными сетями и корпоративной почтой, что существенно повышает риск шантажа, преследования и социальной инженерии.
ShinyHunters: эволюция от кражи баз до RaaS-платформы
Группировка ShinyHunters уже неоднократно фигурировала в крупных инцидентах 2025 года. Эксперты по кибербезопасности связывали ее с эксплуатацией уязвимости нулевого дня в Oracle E-Business Suite (CVE-2025-61884), а также с серией атак на платформы Salesforce и Drift, повлиявших на десятки организаций по всему миру. В ноябре сообщалось о компрометации компании Gainsight, чьи решения тесно интегрированы с Salesforce и используются для управления данными клиентов.
По данным отраслевых источников, ShinyHunters и родственные им группировки переходят на собственную модель Ransomware-as-a-Service (RaaS) под брендом ShinySp1d3r, постепенно отказываясь от использования сторонних шифровальщиков ALPHV/BlackCat, RansomHub, Qilin и DragonForce. При этом в кейсе с Mixpanel и Pornhub хакеры, по сути, применяют «чистую» модель вымогательства на основе утечки данных без шифрования инфраструктуры — тренд, который в последние годы становится все более распространенным.
Смишинг, цепочка поставок и ошибки в управлении данными
Mixpanel ранее сообщал, что компрометация стала результатом SMS-фишинга (смишинга), обнаруженного 9 ноября 2025 года. Атаки через персональные устройства сотрудников, мобильные мессенджеры и SMS — один из наиболее «незамечаемых» каналов социальной инженерии: пользователи часто менее внимательны к SMS, чем к корпоративной почте, а защита мобильных устройств нередко слабее.
Инцидент с Pornhub иллюстрирует классическую атаку на цепочку поставок (supply chain attack), когда уязвимым звеном оказывается подрядчик, обрабатывающий пользовательские данные. Даже если основная платформа инвестирует в безопасность, недостаточный контроль поставщиков услуг аналитики, маркетинга и CRM может привести к масштабным последствиям. Отдельно стоит отметить и избыточный характер собираемой аналитики: наличие в событиях одновременно email, URL ролика и поисковых запросов создает неоправданно высокий уровень идентифицируемости.
Практические уроки для компаний: минимизация данных и контроль подрядчиков
Отраслевые исследования, включая ежегодные отчеты по стоимости утечек данных, показывают, что инциденты, связанные с поставщиками и партнерами, обходятся компаниям особенно дорого — как с финансовой, так и с репутационной точки зрения. С точки зрения кибербезопасности, кейс Pornhub–Mixpanel подчеркивает несколько ключевых рекомендаций:
Во‑первых, необходим жесткий контроль над тем, какие данные передаются сторонним сервисам: принцип минимизации (data minimization), деперсонализация, псевдонимизация и удаление лишних полей (например, полного email) существенно снижают риск. Во‑вторых, политика работы с подрядчиками должна включать регулярный аудит их практик безопасности, проверку инцидентов и формальные требования по защите данных в договорах (DPA, SLA).
В‑третьих, защита от социальной инженерии в канале SMS должна быть встроена в общую стратегию: обучение персонала, использование защищенных каналов для критически важных операций, внедрение многофакторной аутентификации и по возможности — отказ от подтверждений через обычные SMS в пользу более устойчивых механизмов.
Ситуация вокруг утечки данных Pornhub и атаки на Mixpanel демонстрирует, что границы конфиденциальности пользователей зависят не только от безопасности «главного» сервиса, но и от десятков интеграций и подрядчиков за кулисами. Компаниям стоит пересмотреть объем собираемой аналитики, избавиться от лишних идентификаторов и усилить контроль над поставщиками, а пользователям — внимательнее относиться к тому, какие сервисы они связывают со своими основными почтовыми адресами и где оставляют следы активности. Чем меньше избыточных данных существует в экосистеме, тем сложнее хакерам превратить единичный взлом в разрушительный шантаж.
