Hackers beweren een enorme database te verkopen die naar verluidt ongeveer 340 miljoen records bevat die gekoppeld zijn aan OnlyFans-gebruikers, makers en abonneeaccounts. Als het wordt geverifieerd, kan het lek een van de grootste blootstellingen tot nu toe aan het platform worden gekoppeld.
De vermeende dataset verscheen op een bekend cybercrime-forum waar dreigingsactoren regelmatig gestolen databases en gecompromitteerde inloggegevens adverteren. Volgens de vermelding zouden de records gebruikersnamen, e-mailadressen, aanmeldingsdata, volgersstatistieken, accountactiviteitsstatistieken en gekoppelde socialmediaprofielen bevatten.
Aanvallers beweerden ook dat de database betalingsgerelateerde informatie en accountmetadata bevat die verband houden met zowel makers als abonnees. Cybersecurityonderzoekers waarschuwen echter dat er momenteel geen bevestigd bewijs is dat OnlyFans zelf een nieuw intern lek heeft ondergaan.
Verschillende analisten die de vermelding bekeken, zeiden dat de gegevens mogelijk een samengestelde verzameling zijn, opgebouwd uit oudere datalekken, gescrapte publieke profielen en eerder gelekte inloggegevens, in plaats van een directe compromittering van de OnlyFans-infrastructuur. Een rapport stelde dat de verkoper later toegaf dat de dataset was samengesteld door historische lekken en openbaar beschikbare informatie te correleren met OnlyFans-accounts.
Onderzoekers die monsters onderzochten die door de verkoper werden gedeeld, vonden slechts een beperkt aantal records gekoppeld aan het forumbericht. De steekproef zou gebruikersnamen, e-mailadressen, profiel-ID’s en registratiegegevens bevatten, terwijl sommige andere velden onvolledig of leeg leken.
Zelfs zonder bevestiging van een directe platformlek waarschuwen experts dat de vermeende dataset nog steeds ernstige privacy- en beveiligingsrisico’s kan opleveren. OnlyFans-gebruikers vertrouwen vaak op anonimiteit, vooral makers en abonnees die zich niet publiekelijk associëren met platforms voor volwassen content. Blootgestelde e-mails en gekoppelde sociale profielen kunnen mogelijk worden gebruikt voor phishingcampagnes, afpersingspogingen, nepfraude, intimidatie of credential-stuffing-aanvallen.
Dreigingsactoren combineren vaak informatie uit meerdere historische lekken om gedetailleerde identiteitsprofielen op te bouwen die waardevoller worden dan alleen individuele datalekken. Beveiligingsanalisten waarschuwen dat geaggregeerde datasets cybercriminelen in staat kunnen stellen echte identiteiten te achterhalen die gekoppeld zijn aan pseudonieme online accounts.
OnlyFans heeft op het moment van schrijven de authenticiteit van het vermeende lek nog niet publiekelijk bevestigd. Het bedrijf heeft ook niet aangekondigd of het de claims onderzoekt.
Het platform had eerder te maken met beveiligingszorgen nadat grote verzamelingen gestolen content van makers online circuleerden bij eerdere incidenten. OnlyFans ontkende dat eerdere lekken het gevolg waren van directe compromittering van hun systemen, en schreef veel zaken toe aan diefstal van inloggegevens, het delen van accounts en scrapingactiviteiten.
Cybersecurity-experts raden aan dat gebruikers die aan het platform gekoppeld zijn onmiddellijk hun wachtwoorden wijzigen als ze inloggegevens over meerdere diensten hergebruiken. Gebruikers wordt ook geadviseerd tweefactorauthenticatie in te schakelen, accounts te monitoren op verdachte activiteiten en voorzichtig te zijn met phishing-e-mails of afpersingspogingen die verwijzen naar informatie gerelateerd aan OnlyFans.