A plataforma de vídeos adultos PornHub publicou na sexta-feira, dia 12 de Dezembro, uma declaração segundo a qual “alguns usuários do Pornhub Premium” tiveram seus dados acessados durante a invasão da Mixpanel, uma parceira que fornece serviços de analytics. O PornHub informou no comunicado que não trabalha com a Mixpanel desde 2021, mas que mesmo assim decidiu informar os usuários.
A Mixpanel informou ao mercado que o ataque “afetou um número limitado de nossos clientes” e teve origem numa campanha de smishing (phishing por SMS) que a empresa detectou em 8 de novembro. Entre os clientes dela está a OpenAI, desenvolvedora do ChatGPT, que na noite de quarta-feira 26 de Novembro informou o incidente ao mercado; ele resultou na exportação de um conjunto de dados contendo informações de clientes e dados analíticos.
Segundo o portal norte-americano BleepingComputer, o grupo ShinyHunters começou a extorquir clientes da Mixpanel na semana passada, enviando e-mails que começavam com “Somos o ShinyHunters” e avisavam que seus dados roubados seriam publicados caso um resgate não fosse pago. Em uma notificação enviada ao PornHub, o grupo alega ter roubado 94 GB de dados contendo mais de 200 milhões de registros de informações pessoais na violação de segurança do Mixpanel.
O BleepingComputer disse ter recebido do grupo a informação de que ele era o autor dos e-mails de extorsão, alegando que os dados consistem em 201.211.943 registros de histórico de buscas, visualizações e downloads dos membros Premium da plataforma PornHub.
Uma pequena amostra de dados compartilhada com o BleepingComputer mostra que os eventos analíticos enviados ao Mixpanel contêm uma grande quantidade de informações sensíveis que um membro provavelmente não gostaria que fossem divulgadas publicamente.
Esses dados incluem o endereço de e-mail de um membro do PornHub Premium, tipo de atividade, localização, URL do vídeo, nome do vídeo, palavras-chave associadas ao vídeo e a hora em que o evento ocorreu.
Comentários