Pornhub, saldırganların premium kullanıcıların faaliyetleriyle bağlantılı verileri çaldıklarını iddia etmesinin ardından bir şantaj girişiminde hedef alındı. Saldırganlar şirketle iletişime geçerek, bilgileri kamuoyuna açıklamamaları karşılığında ödeme talep ettiler. Platformun açıkladığı ayrıntılara göre, olay Pornhub’un temel sistemlerine ihlali içermiyor, ancak kullanıcı etkileşimini takip etmek için kullanılan üçüncü taraf analitik hizmetine yetkisiz erişimle bağlantılıydı.
Saldırganlar, premium hesaplarla ilişkili görüntüleme faaliyetlerini gösteren verilere sahip olduklarını iddia etti. Bu, izlenen videolar, zaman damgaları ve kullanım kalıpları hakkında bilgileri içeriyordu. Pornhub, ortaya çıkan verilerin gerçek isimler, şifreler, ödeme kartı bilgileri veya devlet tarafından verilen kimlikler içermediğini belirtti. Şirket, kullanıcı adları ve e-posta adreslerinin dahil edilmediğini ancak etkinlik kayıtlarının içeriğin doğası nedeniyle yine de hassas sayılabileceğini belirtti.
Pornhub, verilerin birden fazla web sitesine analiz araçları sağlayan üçüncü taraf bir hizmet sağlayıcısından elde edildiğini söyledi. Olaydan haberdar olduktan sonra şirket, etkilenen sağlayıcı ile ilişkisini sonlandırdığını ve soruşturma başlattığını açıkladı. Kolluk kuvvetleri bilgilendirildi ve tehditin kapsamı ile şantaj tehdidinin güvenilirliği değerlendirilmek için iç inceleme yapıldı.
Saldırganlar, veri örneklerini yayınlamakla tehdit ederek Pornhub’a baskı yapmaya çalıştı. Pornhub, şantaj talebiyle ilgilenmeyi reddettiğini ve olası zararı azaltmak için önlemler aldığını belirtti. Şirket, kendi altyapısında doğrudan bir tehlikeye uğramadığını ve olayın yalnızca dış hizmet tarafından toplanan tarihsel analiz verileriyle sınırlı olduğunu vurguladı.
Güvenlik uzmanları, yetişkin platformlarıyla bağlantılı etkinlik verilerinin, geleneksel tanımlayıcılar olmasa bile yüksek gizlilik riskleri taşıyabileceğini belirtiyor. İzleme geçmişi, ifşa edilirse taciz, şantaj veya itibar zararı için kullanılabilir. Uzmanlar, üçüncü taraf hizmetlerle ilgili olayların, tedarikçi erişimini dikkatlice yönetmenin ve dış ortaklarla paylaşılan hassas bilgilerin miktarını sınırlamanın önemini vurguladığını belirtti.
Pornhub, olayın ardından veri paylaşım uygulamalarını gözden geçirdiğini ve ek önlemler aldığını belirtti. Bu önlemler arasında, üçüncü taraf analiz araçlarına olan bağımlılığın azaltılması ve kullanım verilerinin nasıl toplanıp saklandığı üzerinde kontrollerin sıkılaştırılması yer alıyor. Şirket ayrıca, kullanıcı bilgilerini işleyen tedarikçiler için sözleşme gerekliliklerini güçlendirdiğini belirtti.
Bu olay, tedarik zinciri güvenliği ve dış hizmet sağlayıcılarının oluşturduğu risklerle ilgili daha geniş endişeleri ortaya koyuyor. Bir platformun iç sistemleri güvenli kalsa bile, saldırganlar üçüncü tarafların daha zayıf kontrollerini kullanarak veri elde edebilirler. Güvenlik analistleri, kuruluşların tedarikçileri düzenli olarak denetlemesi, veri açığını en az şekilde azaltması ve dolaylı ihlalleri hesaba katan olay müdahale planları hazırlaması gerektiğini söyledi.
Pornhub, yetkililerle iş birliği yapmaya ve verilerin daha fazla kötüye kullanılmasını izlemeye devam edeceğini belirtti. Şirket, kullanıcı gizliliğinin korunmasının öncelik olmaya devam ettiğini ve etkilenen kullanıcılara ek bilgi sağlandığında bilgilendireceğini ekledi.