Souhrn
Platforma pro dospělý obsah Pornhub oznámila bezpečnostní incident, při kterém došlo k úniku citlivých dat prémiových uživatelů. Skupina hackerů ShinyHunters prohlásila odpovědnost za krádež 94 GB dat obsahujících přes 201 milionů záznamů o hledání, sledování a stahování videí. Incident souvisí s třetí stranou Mixpanel, nikoli přímo s systémy Pornhubu, a nebyly odhaleny hesla ani platební údaje.
Klíčové body
- Ukradeno 94 GB dat s 201 211 943 záznamy o aktivitě prémiových uživatelů.
- Data zahrnují e-mailové adresy, lokace, názvy videí, klíčová slova, informace o sledování, stahování a vyhledávací historie.
- ShinyHunters, cyberzločinecká skupina známá útoky na Qantas, Google, Louis Vuitton a další, požaduje výkupné.
- Pornhub spustil interní vyšetřování a spolupracuje s úřady; Mixpanel popírá, že data pocházejí z jejich incidentu.
- Žádné riziko pro hesla nebo finanční údaje podle Pornhubu.
Podrobnosti
Pornhub zveřejnil bezpečnostní upozornění 12. prosince, podle kterého došlo k incidentu u poskytovatele analytických služeb Mixpanel, který sbírá a zpracovává data o chování uživatelů na webu. Mixpanel slouží k analýze uživatelské aktivity, jako jsou kliknutí, zobrazení stránek a interakce s obsahem, což pomáhá platformám optimalizovat obsah a uživatelský zážitek. Pornhub zdůrazňuje, že jeho vlastní systémy nebyly zasaženy, hesla zůstávají šifrovaná a platební údaje nedotčené. Přesto hackerům unikla historická data o premium uživatelích, kteří platí za přístup k rozšířeným funkcím jako vyšší kvalita videí nebo absence reklam.
Skupina ShinyHunters, specializující se na krádeže velkých objemů dat a následné vydírání, kontaktovala Pornhub s požadavkem na výkupné a poskytla důkazy o datech technologii BleepingComputer. Mezi ukradenými informacemi jsou e-mailové adresy spojené s účty, geografické lokace uživatelů, názvy prohlížených videí, přidružená klíčová slova (například popisující obsah), údaje o tom, zda uživatel video sledoval, stáhl nebo navštívil kanál, a kompletní vyhledávací historie. Tato data neobsahují přímý obsah videí, ale odhalují intimní preference uživatelů.
ShinyHunters mají v roce 2023 za sebou řadu úspěšných útoků: například únik dat letecké společnosti Qantas (miliony cestujících), části Fire TV od Amazonu, dat od GoDaddy nebo luxusních značek jako Louis Vuitton, Dior a Tiffany & Co. Jejich taktika spočívá v infiltraci cloudových úložišť a analytických nástrojů třetích stran, což ukazuje na slabiny v řetězci dodavatelů. Pornhub nyní provádí interní audit a komunikuje s Mixpanelem i příslušnými úřady, včetně novozélandského úřadu pro ochranu soukromí. Mixpanel mezitím tvrdí, že ukradená data nepocházejí z jejich známého incidentu, což zvyšuje spekulace o dalších vektorech útoku.
Proč je to důležité
Tento únik zdůrazňuje rizika závislosti na externích poskytovatelích datové analytiky, jako je Mixpanel, který je běžně používán pro trackování uživatelského chování napříč weby. Pro uživatele znamená potenciální ohrožení soukromí – data o sexuálních preferencích mohou sloužit k cielenému vydírání, phishingu nebo prodeji na dark webu. V širším kontextu kyberbezpečnosti to ukazuje, jak skupiny jako ShinyHunters cílí na supply chain útoky, kde slabina jednoho dodavatele ohrozí celý ekosystém. Platformy jako Pornhub, s miliardami návštěv měsíčně, musí posílit audity třetích stran a implementovat zero-trust architektury. Pro průmysl to signalizuje nárůst vydíracích kampaní založených na reputačním poškození, což může vést k přísnějším regulacím GDPR a CCPA v oblasti ochrany osobních dat.
Zdroj: 📰 New Zealand Herald
