A plataforma de vídeos adultos PornHub publicou na sexta-feira, dia 12 de dezembro, uma declaração segundo a qual “alguns usuários do Pornhub Premium” tiveram seus dados acessados durante a invasão do Mixpanel, uma parceira que fornece serviços de análise. O PornHub informou no comunicado que não trabalha com o Mixpanel desde 2021, mas que mesmo assim decidiu informar os usuários.
A Mixpanel informou ao mercado que o ataque “afetou um número limitado de nossos clientes” e teve origem numa campanha de smishing (phishing por SMS) que a empresa detectou em 8 de novembro. Entre os clientes dela está a OpenAI, desenvolvedora do ChatGPT, que na noite de quarta-feira, 26 de Novembro, informou o incidente ao mercado; ele descobriu na exportação de um conjunto de dados contendo informações de clientes e dados analíticos.
Segundo No portal norte-americano BleepingComputer, o grupo ShinyHunters iniciou uma extorsão de clientes do Mixpanel na semana passada, enviando e-mails que começavam com “Somos o ShinyHunters” e avisavam que seus dados roubados seriam publicados caso um resgate não fosse pago. Em uma notificação enviada ao PornHub, o grupo alega ter roubado 94 GB de dados contendo mais de 200 milhões de registros de informações pessoais na violação de segurança do Mixpanel.
O BleepingComputer disse ter recebido do grupo a informação de que ele era o autor dos e-mails de extorsão, alegando que os dados consistem em 201.211.943 registros de histórico de pesquisas, visualizações e downloads dos membros Premium da plataforma PornHub.
Uma pequena amostra de dados compartilhados com o BleepingComputer mostra que os eventos analíticos enviados ao Mixpanel contêm uma grande quantidade de informações sensíveis que um membro provavelmente não gostaria que fossem divulgadas publicamente.
Esses dados incluem o endereço de e-mail de um membro do PornHub Premium, tipo de atividade, localização, URL do vídeo, nome do vídeo, palavras-chave associadas ao vídeo e a hora em que o evento ocorreu.
