Pornhub ha sido objetivo de un intento de extorsión después de que atacantes afirmaran haber robado datos relacionados con la actividad de usuarios premium. Los atacantes contactaron con la empresa, exigiendo un pago a cambio de no hacer pública la información. Según detalles revelados por la plataforma, el incidente no implicó una brecha en los sistemas principales de Pornhub, sino que estaba vinculado a un acceso no autorizado a un servicio de análisis de terceros utilizado para rastrear la interacción de los usuarios.
Los atacantes afirmaban poseer datos que mostraban la actividad de visualización asociada a cuentas premium. Esto incluía información sobre vídeos vistos, marcas de tiempo y patrones de uso. Pornhub afirmó que los datos expuestos no contenían nombres reales, contraseñas, datos de tarjetas de pago ni identificadores emitidos por el gobierno. La empresa afirmó que, aunque no se incluyeron nombres de usuario ni direcciones de correo electrónico, los registros de actividad podrían considerarse sensibles debido a la naturaleza del contenido implicado.
Pornhub dijo que los datos se obtuvieron de un proveedor externo que suministra herramientas de análisis a múltiples sitios web. Tras enterarse del incidente, la empresa anunció que había terminado su relación con el proveedor afectado y había iniciado una investigación. Se notificó a las autoridades policiales y se realizó una revisión interna para evaluar el alcance de la exposición y la credibilidad de la amenaza de extorsión.
Los atacantes intentaron presionar a Pornhub amenazando con publicar muestras de los datos. Pornhub afirmó que se negó a responder a la demanda de extorsión y tomó medidas para mitigar posibles daños. La empresa enfatizó que no se había identificado ninguna comprometida directa de su propia infraestructura y que el incidente se limitaba a datos analíticos históricos recogidos por el servicio externo.
Los especialistas en seguridad señalan que los datos de actividad vinculados a plataformas para adultos pueden conllevar riesgos de privacidad mayores incluso cuando no hay identificadores tradicionales. El historial de visualización puede usarse para acoso, chantaje o daño reputacional si se revela. Los expertos señalaron que los incidentes que involucran servicios externos ponen de manifiesto la importancia de gestionar cuidadosamente el acceso de los proveedores y limitar la cantidad de información sensible compartida con socios externos.
Pornhub declaró que ha revisado sus prácticas de intercambio de datos tras el incidente e implementado salvaguardas adicionales. Estas medidas incluyen reducir la dependencia de herramientas analíticas de terceros y endurecer los controles sobre cómo se recopilan y almacenan los datos de uso. La empresa también afirmó que está reforzando los requisitos contractuales para los proveedores que procesan la información de los usuarios.
El incidente pone de manifiesto preocupaciones más amplias sobre la seguridad de la cadena de suministro y los riesgos que suponen los proveedores externos de servicios. Incluso cuando los sistemas internos de una plataforma permanecen seguros, los atacantes pueden aprovechar controles más débiles en terceros para obtener datos. Los analistas de seguridad señalaron que las organizaciones deberían auditar regularmente a los proveedores, minimizar la exposición de datos y preparar planes de respuesta a incidentes que tengan en cuenta las brechas indirectas.
Pornhub dijo que continuará cooperando con las autoridades y monitorizando cualquier otro uso indebido de los datos. La compañía añadió que proteger la privacidad de los usuarios sigue siendo una prioridad y que notificará a los usuarios afectados si se dispone de información adicional.