Історія з витоком даних користувачів Pornhub Premium демонструє один із найнеприємніших сценаріїв для приватності: сторонній підрядник зберігав надто детальну аналітику, яка врешті опинилася у руках кіберзлочинців. Група ShinyHunters заявила, що отримала історію переглядів, пошукові запити та інші поведінкові дані преміум-передплатників, пов’язавши це з компрометацією аналітичної платформи Mixpanel у листопаді 2025 року.
Як злам Mixpanel призвів до витоку даних Pornhub Premium
Представники Pornhub підтвердили, що інцидент зачепив частину користувачів Pornhub Premium, але наголосили: інфраструктура самого Pornhub безпосередньо зламана не була. Джерелом проблеми названо злам Mixpanel 8 листопада 2025 року, про який раніше повідомляв BleepingComputer.
Pornhub використовував Mixpanel до 2021 року для збору аналітики користувацької активності. Після завершення співпраці сервіс, за заявою Pornhub, зберігав лише історичні дані до 2021 року включно. Саме ці «архівні» події відстеження й опинилися в розпорядженні ShinyHunters. Компанія підкреслює, що облікові записи, паролі, платіжні реквізити та фінансові дані не постраждали, однак витік поведінкової інформації не менш небезпечний.
Ця ситуація наочно показує, як дані, колись передані сторонньому вендору, зберігають ризик роками. Навіть після офіційного завершення контракту вони можуть залишатися на інфраструктурі підрядника, а отже — потрапити до зловмисників у разі його компрометації.
Масштаб витоку: 94 ГБ аналітики та потенціал деанонімізації
У листі до Pornhub зловмисники з ShinyHunters заявили про викрадення 94 ГБ даних, що, за їх оцінкою, відповідає понад 200 млн записів. Надалі вони конкретизували: йдеться про 201 211 943 аналітичні події, пов’язані з преміум-користувачами Pornhub.
За наданими зразками, події, які надсилалися в Mixpanel, включали такі поля, як email-адреса підписника, тип активності (перегляд, завантаження, перегляд каналу), геолокація, URL і назва відео, пошукові запити, часові мітки. Формально це не банківські реквізити, однак їхня комбінація дозволяє деанонімізувати користувача та прив’язати конкретну людину до її історії переглядів.
Чому витік історії переглядів дорослого контенту настільки критичний
Журнали відвідування сайтів для дорослих належать до найчутливіших категорій персональних даних. Якщо платіжну картку можна перевипустити, то розкриття сексуальних вподобань або інтимних інтересів є практично незворотним. У поєднанні з email-адресою, корпоративною поштою чи акаунтами в соцмережах це створює ґрунт для шантажу, репутаційних атак, переслідування та таргетованої соціальної інженерії.
При наявності часових міток і IP або геоданих зловмисники можуть звіряти інформацію з іншими витоками, корпоративними логами чи публічними профілями. Це значно підвищує ризик так званого «doxxing» — публічного розкриття особи — та схем на кшталт sextortion.
ShinyHunters: від крадіжок баз до власної RaaS-платформи
Група ShinyHunters не вперше фігурує в масштабних кібератаках 2025 року. Експерти пов’язують її з експлуатацією уразливості нульового дня в Oracle E-Business Suite (CVE-2025-61884), а також з атаками на Salesforce і Drift, які вплинули на десятки компаній по всьому світу. Окремо згадувалася компрометація Gainsight, тісно інтегрованої із Salesforce.
За даними галузевих джерел, ShinyHunters та споріднені групи переходять до власної моделі Ransomware-as-a-Service (RaaS) під брендом ShinySp1d3r, відмовляючись від сторонніх програм-шифрувальників на кшталт ALPHV/BlackCat, RansomHub, Qilin та DragonForce. У випадку з Mixpanel і Pornhub вони застосували так зване «чисте» вимагання: без шифрування інфраструктури, лише з погрозою публікації вкрадених даних. Такий підхід стає все популярнішим, оскільки тиск на жертву спирається саме на репутаційні ризики.
Smishing, людський фактор і атаки на ланцюг постачання
Mixpanel раніше повідомляв, що інцидент став наслідком SMS-фішингу (смішингу), виявленого 9 листопада 2025 року. Смішинг — це різновид фішингу, коли шкідливі посилання або прохання про авторизацію надсилаються не електронною поштою, а через SMS чи месенджери. Користувачі зазвичай приділяють менше уваги таким повідомленням, а мобільні пристрої часто мають слабший захист, ніж корпоративні ноутбуки.
Ситуація з Pornhub і Mixpanel — класичний приклад атаки на ланцюг постачання (supply chain attack), коли слабкою ланкою виявляється постачальник послуг аналітики чи маркетингу. Навіть якщо основна платформа інвестує в інформаційну безпеку, недостатній контроль над підрядниками може призвести до масштабних витоків.
Ключові уроки для бізнесу: мінімізація даних та керування ризиками підрядників
Галузеві дослідження, включно з щорічними звітами про вартість витоків даних, послідовно показують: інциденти за участю сторонніх постачальників обходяться дорожче, завдаючи одночасно фінансових і репутаційних втрат. Випадок Pornhub–Mixpanel підкреслює кілька критично важливих рекомендацій.
По-перше, компаніям варто суворо контролювати, які саме дані передаються в аналітичні та маркетингові сервіси. Принципи мінімізації даних, деперсоналізації та псевдонімізації мають бути нормою: наприклад, заміна повного email на хеш або внутрішній ідентифікатор суттєво зменшує ризик деанонімізації у разі витоку.
По-друге, політика роботи з вендорами повинна включати регулярний аудит їхніх практик безпеки, аналіз інцидентів та жорсткі вимоги щодо захисту інформації в договорах (DPA, SLA). Потрібно чітко визначати строки зберігання історичних даних і механізми їх безповоротного видалення після завершення співпраці.
По-третє, захист від соціальної інженерії в SMS-каналі має стати частиною стратегії кібербезпеки: навчання персоналу, використання захищених каналів для критичних операцій, багатофакторна автентифікація та, за можливості, відмова від підтверджень через звичайні SMS на користь більш стійких рішень (апаратні токени, додатки-аутентифікатори).
Ситуація з витоком аналітики Pornhub показує, що конфіденційність користувачів залежить не лише від безпеки «головного» сервісу, а й від десятків інтеграцій за лаштунками. Компаніям варто переглянути обсяги зібраної аналітики, відмовитися від зайвих ідентифікаторів та регулярно перевіряти підрядників. Користувачам доцільно уникати прив’язки чутливих сервісів до основної робочої чи особистої пошти й уважніше ставитися до того, де саме вони залишають цифрові сліди. Чим менше надлишкових даних існує в екосистемі, тим складніше зловмисникам перетворити один успішний злам на масштабний шантаж.
