成人網站PornHub合作的資料分析服務公司傳出遭ShinyHunters入侵，部分付費會員資料恐外流

11月底資料分析服務廠商Mixpanel傳出部分系統遭到入侵，導致部分客戶的帳號及分析資料外流，當時OpenAI表明旗下使用API的客戶資料受到影響，如今又有新的消息傳出。

根據資安新聞網站Bleeping Computer的報導，12月12日成人影音平臺PornHub發布公告，指出他們的第三方資料分析服務廠商Mixpanel發生資安事故，導致該平臺部分Pornhub Premium付費用戶分析資料外洩。PornHub強調，他們的系統並未遭到入侵，密碼、付款資訊，以及財務資料沒有被外洩。Bleeping Computer報導指出，駭客組織ShinyHunters聲稱這起攻擊行動是他們所為，並向包含PornHub在內的多家Mixpanel客戶進行勒索。

Pornhub是全球最大的成人影片網站，成立於2007年，總部位於加拿大蒙特婁。它的運作模式類似YouTube，提供免費影片瀏覽、用戶上傳功能，以及付費會員服務，後來2010年被MindGeek公司買下，該平臺2018年用戶存取達到335億次、2019年達到420億次，換算下來每天會有超過1億次瀏覽、觀看影片。一旦用戶的資料曝光，他們的性取向及觀看影片的偏好可能會被揭露，因而影響人際關係，甚至成為歹徒向其勒索的把柄。

Bleeping Computer掌握ShinyHunters在上週開始勒索Mixpanel客戶的情報，駭客發送開頭為「我們是ShinyHunters」的電子郵件，要脅若是不支付贖金，將會公開竊得資料。

其中，針對Pornhub的部分，ShinyHunters宣稱從Mixpanel竊得94 GB資料，內含超過2億筆（201,211,943筆）記錄，包括Pornhub Premium會員的搜尋記錄、觀看記錄，以及下載活動。該新聞網站取得部分資料進行檢視，Mixpanel分析的資料含有大量敏感資訊，包含會員的電子郵件信箱、活動類型、地理位置、活動記錄，以及影片名稱、網址、關鍵字。而在活動記錄的事件類型，包含會員觀看與下載影片，以及檢視頻道內容，ShinyHunters宣稱當中也有搜尋記錄。

值得留意的是，PornHub自2021年起不再與Mixpanel合作，代表駭客竊得的資料並非最新。Mixpanel在Bleeping Computer報導此事後提出進一步說明，他們認為這些資料外流與11月發生的資安事故無關。該公司指出，這批資料最後一次存取的時間在2023年，由PornHub母公司的合法員工帳號取用，若是資料遭到外流，Mixpanel認為並非本次資安事故造成。

針對Mixpanel遭到入侵的事故，目前已有加密貨幣投資平臺CoinTracker、OpenAI，以及PornHub傳出用戶資料受到波及。音訊串流平臺SoundCloud近日也傳出服務中斷與VPN連線異常，並出現部分用戶資料外洩，Bleeping Computer掌握此事也與ShinyHunters有關，但是否因Mixpanel事故引起，有待進一步釐清。