Pornhub wurde Ziel eines Erpressungsversuchs, nachdem Angreifer behaupteten, Daten im Zusammenhang mit den Aktivitäten von Premium-Nutzern gestohlen zu haben. Die Angreifer kontaktierten das Unternehmen und forderten eine Bezahlung im Austausch dafür, dass sie die Informationen nicht öffentlich veröffentlichen. Laut Angaben der Plattform handelte es sich bei dem Vorfall nicht um eine Verletzung der Kernsysteme von Pornhub, sondern wurde mit unbefugtem Zugriff auf einen Drittanbieter-Analysedienst in Verbindung gebracht, der zur Überwachung der Nutzerbeteiligung genutzt wurde.
Die Angreifer behaupteten, Daten zu besitzen, die Aufrufaktivitäten in Verbindung mit Premium-Konten zeigen. Dazu gehörten Informationen über angesehene Videos, Zeitstempel und Nutzungsmuster. Pornhub teilte mit, dass die offengelegten Daten keine echten Namen, Passwörter, Zahlungskartendaten oder von der Regierung ausgegebene Kennungen enthielten. Das Unternehmen erklärte, dass zwar Benutzernamen und E-Mail-Adressen nicht enthalten seien, die Aktivitätsprotokolle jedoch aufgrund der Art des Inhalts dennoch als sensibel gelten könnten.
Pornhub sagte, die Daten seien von einem Drittanbieter bezogen worden, der Analysetools für mehrere Websites bereitstellt. Nachdem das Unternehmen von dem Vorfall erfahren hatte, erklärte es, dass es die Zusammenarbeit mit dem betroffenen Anbieter beendet und eine Untersuchung eingeleitet hatte. Die Strafverfolgungsbehörden wurden benachrichtigt und eine interne Überprüfung durchgeführt, um das Ausmaß der Exposition und die Glaubwürdigkeit der Erpressungsdrohung zu bewerten.
Die Angreifer versuchten, Pornhub unter Druck zu setzen, indem sie mit der Freigabe von Datenproben drohten. Pornhub erklärte, es weigere sich, sich auf die Erpressungsforderung einzulassen, und ergriff Maßnahmen, um potenziellen Schaden zu minimieren. Das Unternehmen betonte, dass keine direkte Kompromittierung der eigenen Infrastruktur festgestellt worden sei und der Vorfall sich auf historische Analysedaten beschränkte, die vom externen Dienst erhoben wurden.
Sicherheitsexperten weisen darauf hin, dass Aktivitätsdaten, die mit Erwachsenenplattformen verknüpft sind, auch dann erhöhte Datenschutzrisiken bergen können, wenn herkömmliche Identifikatoren fehlen. Der Aufrufverlauf kann für Belästigung, Erpressung oder Reputationsschäden genutzt werden, wenn er offengelegt wird. Experten erklärten, dass Vorfälle mit Drittanbieterdiensten die Bedeutung unterstreichen, den Lieferantenzugang sorgfältig zu verwalten und die Menge sensibler Informationen, die mit externen Partnern geteilt werden, zu begrenzen.
Pornhub erklärte, dass es seine Datenaustauschpraktiken nach dem Vorfall überprüft und zusätzliche Schutzmaßnahmen eingeführt hat. Zu diesen Maßnahmen gehört die Verringerung der Abhängigkeit von Analysetools Dritter und eine Verschärfung der Kontrollen darüber, wie Nutzungsdaten erhoben und gespeichert werden. Das Unternehmen erklärte außerdem, dass es die vertraglichen Anforderungen für Lieferanten, die Nutzerinformationen verarbeiten, verschärft.
Der Vorfall unterstreicht umfassendere Bedenken hinsichtlich der Sicherheit der Lieferkette und der Risiken, die durch externe Dienstleister ausgehen. Selbst wenn die internen Systeme einer Plattform sicher bleiben, können Angreifer schwächere Kontrollen bei Dritten ausnutzen, um Daten zu erhalten. Sicherheitsanalysten sagten, Organisationen sollten Lieferanten regelmäßig prüfen, die Datenexposition minimieren und Vorfallreaktionspläne erstellen, die indirekte Sicherheitsverletzungen berücksichtigen.
Pornhub erklärte, dass es weiterhin mit den Behörden kooperieren und weiteren Missbrauch der Daten überwachen wird. Das Unternehmen fügte hinzu, dass der Schutz der Privatsphäre der Nutzer weiterhin Priorität hat und dass betroffene Nutzer benachrichtigt werden, falls weitere Informationen verfügbar werden.