Pornhub szantażowany po kradzieży danych aktywności Premium: co naprawdę wyciekło i jak się chronić

Wprowadzenie do problemu / definicja luki

Pornhub został objęty kampanią szantażową po tym, jak grupa ShinyHunters rozesłała e-maile z żądaniem okupu, twierdząc, że posiada 94 GB historycznych danych analitycznych dotyczących aktywności części użytkowników Pornhub Premium. Dane mają pochodzić z incydentu z listopada 2025 r. u dostawcy analityki Mixpanel – choć sam Mixpanel kwestionuje, że ten zestaw został wykradziony podczas ich listopadowego naruszenia.

W skrócie

• Co się stało: ShinyHunters rozsyła e-maile z groźbą publikacji danych o aktywności użytkowników Premium Pornhuba.
• Skąd dane: Pornhub wskazuje na historyczne zdarzenia analityczne przekazywane do Mixpanel (firma nieużywana przez PH od 2021 r.). Mixpanel odpowiada, że nie widzi dowodów, by te dane pochodziły z ich incydentu z listopada 2025.
• Zakres danych: e-mail użytkownika, typ aktywności (np. odtworzenie/pobranie), lokalizacja, URL i tytuł wideo, słowa kluczowe, znacznik czasu; ShinyHunters mówi o 201 211 943 rekordach. Hasła i płatności nie były częścią próbek.
• Kontekst: Incydent wpisuje się w szerszą falę ataków na łańcuch dostaw/analitykę (Mixpanel), które dotknęły też m.in. OpenAI (ale bez treści czatów).

Kontekst / historia / powiązania

Pornhub potwierdził, że incydent dotyczy wyłącznie wybranych użytkowników Premium i że nie doszło do naruszenia systemów Pornhub – chodzi o historyczne dane analityczne wysyłane do Mixpanel do 2021 r. To element szerszego incydentu z 8–9 listopada 2025 r., gdy Mixpanel padł ofiarą smishingu (phishingu SMS), co doprowadziło do nieautoryzowanego eksportu datasetów części klientów (np. OpenAI).

ShinyHunters w 2025 r. odpowiadało za liczne włamania do integratorów i łańcucha SaaS; BleepingComputer łączy grupę m.in. z atakami na integracje Salesforce oraz innymi głośnymi wyciekami w tym roku.

Analiza techniczna / szczegóły luki

Z próbek przeanalizowanych przez redakcję wynika, że do Mixpanel trafiały zdarzenia analityczne o dużej szczegółowości, m.in.:

• e-mail przypisany do konta Premium,
• typ aktywności (np. obejrzenie, pobranie, wejście na kanał),
• przybliżona lokalizacja,
• URL i nazwa wideo, powiązane słowa kluczowe,
• timestamp zdarzenia.

Taki model telemetryczny jest typowy dla narzędzi typu product analytics i – choć użyteczny biznesowo – tworzy powierzchnię ryzyka, gdy dane nie są odpowiednio zminimizowane/usuwane po zakończeniu współpracy z dostawcą. W tym przypadku Pornhub przestał używać Mixpanel w 2021 r., ale historyczne dane wciąż istniały.

Warto dodać, że Mixpanel oficjalnie stwierdził, iż nie znajduje wskazań, by omawiany zbiór danych pochodził z ich listopadowego incydentu; ostatni dostęp do tych danych miał mieć „legalny pracownik firmy-matki Pornhub w 2023 r.”. To komplikuje atrybucję i może wskazywać na inny wektor (np. kompromitację konta po stronie klienta, wyciek poza głównym incydentem, błąd archiwizacji).

Praktyczne konsekwencje / ryzyko

Dla osób, których dotyczy zestaw:

• Szantaż/wyłudzenia oparte na historii wyszukiwań/odtworzeń.
• Spear-phishing (wiadomości kontekstowe wykorzystujące e-mail i szczegóły aktywności).
• Ryzyko reputacyjne/doxxingu, zwłaszcza przy powiązaniu e-maila z tożsamością.
  Dla organizacji:
• Ryzyko łańcucha dostaw: analityka, SDK, customer data platforms bywają głębiej wrażliwe niż klasyczny backend.
• Zgodność i retencja: utrzymywanie historycznych logów u dostawców zwiększa ekspozycję.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (Pornhub Premium):

1. Uważaj na phishing: nie klikaj w linki z rzekomymi „weryfikacjami” konta; sprawdzaj domeny.
2. Włącz 2FA na e-mailu powiązanym z kontem oraz w innych kluczowych serwisach.
3. Sprawdź wycieki e-maila w serwisach monitoringu naruszeń (np. Have I Been Pwned) i włącz alerty.
4. Rozważ zmianę publicznych aliasów/e-maili do usług wrażliwych.
5. Jeśli otrzymasz e-mail szantażowy, nie odpisuj, zachowaj nagłówki i zgłoś sprawę organom ścigania.

Dla organizacji (lekcje na przyszłość):

1. Minimalizacja danych i retencji u dostawców analityki; automatyczne kasowanie historycznych eventów po X miesiącach.
2. Segmentacja i least privilege dla kont dostępowych u vendorów; MDM + FIDO2 dla kont uprzywilejowanych.
3. SBOM dla frontendu („tag managers”, SDK, skrypty analityczne) i stały privacy threat modeling dla telemetryki.
4. Vendor risk management: weryfikacja MFA, kluczy FIDO, logów i procesów IR u dostawców (Mixpanel publikuje opis incydentu i działania naprawcze — korzystaj z takich raportów).
5. Ćwiczenia tabletop na scenariusze „dane telemetryczne wyciekły”, z gotowymi playbookami komunikacyjnymi.

Różnice / porównania z innymi przypadkami

Incydent wokół Pornhub różni się od ujawnionych wcześniej skutków ataku na Mixpanel wobec OpenAI: u OpenAI chodziło o ograniczone metadane kont API (bez treści, haseł i płatności), natomiast w próbce dotyczącej Pornhub mamy semantycznie wrażliwe zdarzenia aktywności (historia wyszukiwań/odtworzeń). To pokazuje, że ten sam dostawca może dla różnych klientów gromadzić radykalnie inny zestaw danych i ryzyk.

Podsumowanie / kluczowe wnioski

• ShinyHunters prowadzi kampanię szantażową wobec Pornhub, powołując się na >200 mln rekordów aktywności użytkowników Premium. Hasła/płatności nie były w próbkach, ale zawartość eventów jest bardzo wrażliwa.
• Atrybucja źródła danych jest sporna: Pornhub wskazuje na historyczne dane w Mixpanel, natomiast Mixpanel twierdzi, że obecny zbiór nie pochodzi z ich incydentu z listopada 2025 r.
• Organizacje powinny traktować telemetrię/analitykę jako element krytycznej powierzchni ataku, z naciskiem na retencję, minimalizację i kontrolę dostępu.

Źródła / bibliografia

• BleepingComputer: szczegóły szantażu, zakres danych, stanowiska Pornhub i Mixpanel (15.12.2025). (bleepingcomputer.com)
• Mixpanel – oficjalny wpis po incydencie (27.11.2025). (mixpanel.com)
• OpenAI – strona informacyjna o wpływie incydentu Mixpanel (26.11.2025). (OpenAI)
• CyberNews – materiał łączący wątek Pornhub z falą incydentów Mixpanel (16.12.2025). (Cybernews)
• SecurityAffairs – zbieżne doniesienia o szantażu i śladach Mixpanel (16.12.2025). (Security Affairs)