O Pornhub foi alvo de uma tentativa de extorsão após agressores alegarem ter roubado dados ligados à atividade de usuários premium. Os atacantes entraram em contato com a empresa, exigindo pagamento em troca de não divulgarem as informações publicamente. De acordo com detalhes divulgados pela plataforma, o incidente não envolveu uma violação dos sistemas centrais do Pornhub, mas estava ligado a acesso não autorizado a um serviço de análise terceirizado usado para monitorar o engajamento dos usuários.
Os atacantes alegavam possuir dados mostrando atividade de visualização associada a contas premium. Isso incluía informações sobre vídeos assistidos, carimbos de horário e padrões de uso. A Pornhub afirmou que os dados expostos não continham nomes reais, senhas, dados de cartão de pagamento ou identificadores emitidos pelo governo. A empresa afirmou que, embora nomes de usuário e endereços de e-mail não tenham sido incluídos, os registros de atividade ainda poderiam ser considerados sensíveis devido à natureza do conteúdo envolvido.
A Pornhub disse que os dados foram obtidos de um provedor terceirizado que fornece ferramentas de análise para vários sites. Após tomar conhecimento do incidente, a empresa afirmou ter encerrado sua relação com o provedor afetado e iniciado uma investigação. As autoridades policiais foram notificadas, e uma revisão interna foi realizada para avaliar o alcance da exposição e a credibilidade da ameaça de extorsão.
Os atacantes tentaram pressionar a Pornhub ameaçando liberar amostras dos dados. A Pornhub afirmou que se recusou a aceitar a exigência de extorsão e tomou medidas para mitigar possíveis danos. A empresa enfatizou que nenhum comprometimento direto de sua própria infraestrutura foi identificado e que o incidente se limitou a dados analíticos históricos coletados pelo serviço externo.
Especialistas em segurança observam que dados de atividades vinculados a plataformas adultas podem apresentar riscos de privacidade acrescidos mesmo quando identificadores tradicionais estão ausentes. O histórico de visualização pode ser usado para assédio, chantagem ou prejuízo reputacional se divulgado. Especialistas disseram que incidentes envolvendo serviços de terceiros destacam a importância de gerenciar cuidadosamente o acesso dos fornecedores e limitar a quantidade de informações sensíveis compartilhadas com parceiros externos.
A Pornhub afirmou que revisou suas práticas de compartilhamento de dados após o incidente e implementou salvaguardas adicionais. Essas medidas incluem a redução da dependência de ferramentas analíticas de terceiros e o endurecimento dos controles sobre como os dados de uso são coletados e armazenados. A empresa também afirmou que está fortalecendo os requisitos contratuais para fornecedores que processam informações dos usuários.
O incidente ressalta preocupações mais amplas sobre a segurança da cadeia de suprimentos e os riscos apresentados por prestadores de serviços externos. Mesmo quando os sistemas internos de uma plataforma permanecem seguros, os atacantes podem explorar controles mais fracos em terceiros para obter dados. Analistas de segurança disseram que as organizações devem auditar regularmente os fornecedores, minimizar a exposição de dados e preparar planos de resposta a incidentes que considerem violações indiretas.
A Pornhub afirmou que continuará cooperando com as autoridades e monitorando qualquer novo uso indevido dos dados. A empresa acrescentou que proteger a privacidade dos usuários continua sendo uma prioridade e que notificará os usuários afetados caso mais informações estejam disponíveis.