Історія з витоком даних Pornhub, що торкнувся історії переглядів та пошукових запитів преміум-підписників, стала показовим кейсом для всієї галузі кібербезпеки. В епіцентрі опинилися аналітичний сервіс Mixpanel та хакерська група ShinyHunters, відома вимаганням викупу за викрадені масиви даних.
Mixpanel та витік даних Pornhub: офіційна позиція аналітичного сервісу
Керівництво Mixpanel офіційно заявило, що компанія не є джерелом компрометації даних Pornhub. За їхніми словами, під час інциденту зі sms‑фішингом у листопаді 2025 року, який торкнувся обмеженої кількості клієнтів, не виявлено ознак несанкціонованого доступу до аналітики Pornhub.
Mixpanel наголошує, що Pornhub припинив співпрацю з сервісом ще у 2021 році. Отже, у системі могли залишатися лише історичні дані до 2021 року включно. При цьому, за журналами доступу, останній легітимний вхід до даних, які цікавлять зловмисників, був зафіксований у 2023 році з облікового запису співробітника материнської компанії Pornhub — Aylo.
Звідси висновок Mixpanel: якщо аналітичні дані Pornhub і потрапили до сторонніх осіб, то, на їхню оцінку, це не пов’язано з інцидентом sms‑фішингу в листопаді 2025 року на стороні самого Mixpanel.
Хронологія інциденту: sms‑фішинг, компрометація та шантаж
Прицільний sms‑фішинг проти Mixpanel
Інцидент у Mixpanel було виявлено 9 листопада 2025 року. Атака являла собою цільову smishing‑кампанію — фішинг через SMS, де зловмисники маскувалися під легітимні служби й спонукали співробітників переходити за шкідливими посиланнями та вводити свої облікові дані.
Компанія тоді визнала компрометацію частини інфраструктури та незначної кількості клієнтів (зокрема згадувалися OpenAI та CoinTracker), однак технічних деталей публічно не розкривала. На цьому тлі Pornhub у першій заяві пов’язав власний витік із проблемами в аналітичного провайдера, посилаючись на повідомлення з боку Mixpanel.
Змінювані заяви Pornhub та роль людського фактора
Медіа звернули увагу, що офіційне повідомлення Pornhub кілька разів коригувалося заднім числом. Спочатку йшлося, що витік торкнувся Pornhub «нарівні з Google, ChatGPT та іншими», але згодом ці згадки зникли. В оновленій версії компанія заявляє, що неавторизована третя сторона отримала доступ до аналітичних даних, які зберігалися у Mixpanel, та витягнула обмежений набір подій щодо частини користувачів.
Pornhub також підкреслює, що інфраструктура Pornhub Premium безпосередньо зламана не була: паролі, платіжна інформація та документи користувачів, за офіційною версією, не постраждали. Окремо зазначено, що «скомпрометований обліковий запис було захищено, подальший несанкціонований доступ припинено», що непрямо узгоджується з позицією Mixpanel щодо акаунта співробітника Aylo.
З огляду на це, експерти розглядають два найбільш імовірні сценарії: фішингова компрометація облікового запису співробітника (у тому числі через sms‑фішинг) або — типовий підхід для сучасних схем вимагання.
Масштаби витоку Pornhub та тактика ShinyHunters
За даними BleepingComputer, за атакою на Mixpanel та подальшим шантажем клієнтів стоїть угруповання ShinyHunters, відоме численними великими витоками та продажем баз даних на підпільних майданчиках. Постраждалим компаніям почали надходити листи з вимогою викупу під загрозою публікації викрадених відомостей.
У зверненні до Pornhub хакери заявили, що отримали 94 ГБ даних, серед яких понад 200 млн записів з персональною інформацією користувачів. Надалі для медіа вони конкретизували цифру — 201 211 943 записів, які описують історію пошукових запитів, переглядів та завантажень преміум-підписників Pornhub.
Джерела The Register відзначають, що структура набору даних нагадує «типовий експорт аналітики» з корпоративної системи. Це підтримує версію, що мова йде не про складну експлуатацію технічної вразливості в інфраструктурі Mixpanel чи Pornhub, а про використання вже існуючого привілейованого доступу.
Ключові уроки з витоку даних Pornhub для бізнесу
Інцидент із витоком даних Pornhub Premium демонструє, наскільки критичними є треті сторони в ланцюгу постачання. Аналітичні та маркетингові платформи часто обробляють великі масиви чутливих даних, але при цьому залишаються «поза фокусом» команд безпеки. Кожен такий провайдер фактично є елементом supply chain і потенційною точкою входу для кібератак.
Другий важливий урок — керування привілейованими обліковими записами. Доступ одного співробітника до аналітики може дозволяти експортувати мільйони записів. Без жорстких лімітів на обсяг вивантажень, обов’язкової MFA, принципу мінімальних привілеїв та моніторингу аномальної активності такі акаунти стають ідеальною ціллю як для фішингу, так і для вербування інсайдерів.
По‑третє, діяльність груп на кшталт ShinyHunters показує зміщення фокусу до моделі data theft & extortion. Зловмисники все частіше відмовляються від класичного ransomware й зосереджуються на «чистому» викраденні даних та шантажі. Це знижує їхні операційні ризики та підвищує шанси залишатися непоміченими до моменту висування вимог.
Нарешті, кейс Pornhub ілюструє ціну непослідовної комунікації під час інцидентів. Постфактум змінені заяви, розбіжності між версіями компанії та її постачальників, розмиті формулювання підривають довіру користувачів і ускладнюють реагування. Організації, що працюють з чутливими даними (adult‑індустрія, фінтех, медицина), мають переосмислити політику взаємодії з зовнішніми сервісами, мінімізувати обсяг переданих даних, впроваджувати Zero Trust, багатофакторну аутентифікацію, регулярний аудит дій співробітників та системний контроль постачальників. Чим раніше ці заходи стануть стандартом, тим менша ймовірність, що наступний гучний заголовок про витік даних стосуватиметься саме вашої компанії.
