Pornhub is het doelwit van een afpersingspoging nadat aanvallers beweerden gegevens te hebben gestolen die verband houden met de activiteiten van premiumgebruikers. De aanvallers namen contact op met het bedrijf en eisten betaling in ruil voor het niet openbaar maken van de informatie. Volgens details die door het platform zijn vrijgegeven, betrof het incident geen inbreuk op de kernsystemen van Pornhub, maar was het gekoppeld aan ongeautoriseerde toegang tot een externe analysedienst die wordt gebruikt om gebruikersbetrokkenheid te volgen.
De aanvallers beweerden gegevens te bezitten die aantonen dat kijkactiviteiten aan premium-accounts zijn gekoppeld. Dit omvatte informatie over bekeken video’s, tijdstempels en gebruikspatronen. Pornhub zei dat de blootgelegde gegevens geen echte namen, wachtwoorden, betaalkaartgegevens of door de overheid uitgegeven identificatiegegevens bevatten. Het bedrijf verklaarde dat hoewel gebruikersnamen en e-mailadressen niet waren opgenomen, de activiteitenlogboeken toch als gevoelig konden worden beschouwd vanwege de aard van de betrokken inhoud.
Pornhub zei dat de gegevens zijn verkregen van een externe dienstverlener die analysetools levert aan meerdere websites. Nadat het bedrijf zich bewust werd van het incident, zei het dat het de relatie met de getroffen aanbieder had beëindigd en een onderzoek was gestart. De wetshandhavingsautoriteiten werden op de hoogte gebracht en er werd een interne evaluatie uitgevoerd om de omvang van de blootstelling en de geloofwaardigheid van de dreiging met afpersing te beoordelen.
De aanvallers probeerden Pornhub onder druk te zetten door te dreigen met het vrijgeven van datamonsters. Pornhub zei dat het weigerde in te gaan op de afpersingseis en stappen ondernam om mogelijke schade te beperken. Het bedrijf benadrukte dat er geen directe compromittering van de eigen infrastructuur was vastgesteld en dat het incident beperkt was tot historische analysegegevens die door de externe dienst zijn verzameld.
Beveiligingsspecialisten merken op dat activiteitengegevens die gekoppeld zijn aan volwassen platforms verhoogde privacyrisico’s kunnen opleveren, zelfs wanneer traditionele identificaties ontbreken. De kijkgeschiedenis kan worden gebruikt voor intimidatie, chantage of reputatieschade indien bekendgemaakt. Experts zeiden dat incidenten met externe diensten het belang benadrukken van zorgvuldig beheren van leverancierstoegang en het beperken van de hoeveelheid gevoelige informatie die met externe partners wordt gedeeld.
Pornhub verklaarde dat het zijn gegevensuitwisselingspraktijken na het incident heeft herzien en aanvullende waarborgen heeft ingevoerd. Deze maatregelen omvatten het verminderen van de afhankelijkheid van externe analysetools en het aanscherpen van de controle over hoe gebruiksgegevens worden verzameld en opgeslagen. Het bedrijf zei ook dat het contractuele eisen voor leveranciers die gebruikersinformatie verwerken versterkt.
Het incident benadrukt bredere zorgen over de beveiliging van de toeleveringsketen en de risico’s die externe dienstverleners met zich meebrengen. Zelfs wanneer de interne systemen van een platform veilig blijven, kunnen aanvallers zwakkere controles bij derden misbruiken om data te verkrijgen. Beveiligingsanalisten zeiden dat organisaties leveranciers regelmatig moeten auditen, datablootstelling moeten minimaliseren en incidentresponsplannen moeten opstellen die rekening houden met indirecte datalekken.
Pornhub zei dat het zal blijven samenwerken met de autoriteiten en zal monitoren op verder misbruik van de gegevens. Het bedrijf voegde eraan toe dat het beschermen van de privacy van gebruikers een prioriteit blijft en dat het getroffen gebruikers zal informeren als er aanvullende informatie beschikbaar komt.