Souhrn
Rok 2025 byl poznamenán eskalací kybernetických hrozeb, včetně masivních úniků dat a nových technik sociálního inženýrství. Podle serveru BleepingComputer patří mezi nejdůležitější patnáct událostí únik dat z PornHubu skupinou ShinyHunters a rozšíření ClickFix útoků na více operačních systémů. Tyto incidenty ukazují na zranitelnosti třetích stran a slabiny uživatelského chování.
Klíčové body
- Únik dat z PornHubu: Skupina ShinyHunters ukradla 94 GB dat o aktivitě 200 milionů prémiových uživatelů z analytického nástroje Mixpanel.
- ClickFix útoky: Falešné chybové zprávy vedoucí k samo-infekci malwarem prostřednictvím PowerShell nebo shell příkazů na Windows, macOS a Linux.
- Širší trendy: Exploitace zero-day zranitelností, růst notoriety ransomware gangů a státních aktérů.
- Dopady: Reputační rizika pro uživatele, rozšíření infostealerů a RATů.
Podrobnosti
Článek Lawrence Abramese z 1. ledna 2026 shrnuje patnáct nejdůležitějších kyberbezpečnostních událostí roku 2025 bez specifického pořadí. Mezi nimi vyniká únik dat z PornHubu, kde extortion skupina ShinyHunters – známá z předchozích útoků na LinkedIn a Twitter – získala přístup k datům o prohlížení, hledání a stahování obsahu u více než 200 milionů prémiových uživatelů. Data o objemu 94 GB pocházejí z třetí strany, analytické platformy Mixpanel, která slouží k sledování uživatelské aktivity na webech. ShinyHunters požadují výkupné, jinak data zveřejní. I když neobsahují finanční údaje, odhalují citlivé informace o sexuálních preferencích, což připomíná únik z Ashley Madison v roce 2015, spojený s sebevraždami a rozvody.
Další významnou hrozbou se staly ClickFix útoky, které se rychle rozšířily od Windows na macOS a Linux. Tyto sociální inženýrské kampaně zobrazují falešné chybové hlášky, bezpečnostní varování, CAPTCHA výzvy nebo upozornění na aktualizace, které návštěvníka navedou k zadání příkazů v PowerShell (na Windows) nebo shellu (na Unix-like systémech). Výsledek je samo-infekce zařízení malwarem, jako jsou infostealery pro krádež hesel a cookie, nebo RATy (Remote Access Trojans) pro dálkové ovládání. Tato technika byla převzata různými aktéry, včetně státních hackerů a ransomware gangů, což ukazuje na její univerzálnost a nízkou detekovatelnost antiviry.
Rok 2025 byl obecně charakterizován exploitací zero-day zranitelností v incidentech, růstem notoriety hrozících skupin a masivními útoky na kritickou infrastrukturu. BleepingComputer zdůrazňuje, že tyto příběhy nejen ovlivnily jednotlivce, ale i celé sektory, jako dospělý obsah nebo firemní analytics.
Proč je to důležité
Tyto události signalizují selhání v řetězci dodavatelů – útoky na třetí strany jako Mixpanel ukazují, že i prémiové služby jsou zranitelné kvůli slabým bezpečnostním praktikám partnerů. Pro uživatele znamená PornHub únik riziko blackmailingu a sociální stigmatizace, zatímco ClickFix útoky zdůrazňují nutnost školení v rozpoznávání sociálního inženýrství, protože obcházejí tradiční obranu. V širším kontextu posilují tlak na regulace jako GDPR nebo NIS2 v EU, kde zero-day exploity mohou vést k shutdownům služeb. Průmysl musí investovat do zero-trust architektur a monitoringu třetích stran, jinak se podobné krize opakují, což oslabuje důvěru v digitální ekosystém.
Zdroj: 📰 BleepingComputer