Wenn der Betreiber nicht den Forderungen von ShinyHunters entspricht, wollen die Hacker zahlreiche Pornhub Premium-Kundendaten enttarnen.
Beim Videoportal Pornhub läuft gerade etwas, was man nicht einfach mit „Passwort ändern und weiter“ abtun kann. ShinyHunters droht damit, einen Datensatz von Pornhub Premium-Kunden zu veröffentlichen. Wer das nicht möchte, soll mit Bitcoin bezahlen. Hierbei handelt es sich nicht um den klassischen Zugriff auf irgendwelche Konten. Die Hacker versuchen bei diesem Vorfall den Scham der Betroffenen auszunutzen.
Pornhub versucht den Schaden zu begrenzen
Die luxemburgische Aylo Holdings S.à r.l. versucht seit Tagen, den Imageschaden zu minimieren. Laut Pornhub seien die eigenen Systeme nicht kompromittiert worden, auch die Passwörter und Zahlungsdaten waren nicht betroffen. Unbekannte konnten allerdings einen begrenzten Satz an Analytics-Events kopieren. Dies gelang aufgrund eines erneuten Vorfalls beim Drittanbieter Mixpanel. Genau da liegt das Problem. Analytics klingt nach langweiliger Statistik. In der Realität stellen diese Daten jedoch ein Druckmittel dar. Außerdem geht es um die Daten von 28–36 Millionen Menschen, das sind etwa 20 Prozent der Pornhub Premium Kunden. Wie der Hack gelang, erläutern weder die Hacker noch die betroffenen Unternehmen.
Mixpanel ist der zentrale Baustein, der sehr schnell in Flammen aufgehen kann.
Mixpanel beschreibt den eigenen Vorfall als Smishing-Kampagne, die am 8. November 2025 entdeckt und später öffentlich gemacht wurde. Das ist eine unscheinbare Kategorie von Sicherheitsproblemen, die man gerne als „nur ein paar Konten betroffen“ abgehakt. Nur sitzen in der Mitte eben zentrale Dienste wie Mixpanel, die bei vielen Firmen eingesetzt werden. Wenn dort etwas nicht mehr rundläuft, hat nicht nur eine Online-Plattform ein massives Problem, sondern eine ganze Reihe.
200 Millionen Datensätze klingen nach Weltuntergang, das ist aber Telemetrie-Mathematik.
Eine große Zahl macht die Runde, weil sie sich gut als Schlagzeile von den meisten Clickbait-Medien verkaufen lässt. 94 GB, über 200 Millionen Einträge, so steht es in der Mitteilung der Erpresser. Der Witz ist nur, dass Telemetriedaten keine Menschen zählen. Sie erfassen hingegen die einzelnen Handlungen der Pornhub Premium-Kunden. Ein Nutzer ist nicht gleich ein Datensatz. Der Datensatz eines Nutzers besteht aus tausend oder mehr Aktivitäten, die der User dort durchgeführt hat. Jede einzelne Aktion auf dem Portal zählt dabei extra.
Deshalb passt es auch, dass die Nachrichtenagentur Reuters von einer veröffentlichten Probe spricht, die sich auf 14 Pornhub Premium-Nutzer bezieht. Man konnte einzelne Datensätze bei Betroffenen verifizieren, sie waren teils mehrere Jahre alt. Das ist genau die markante Mischung, die sich gut als Druckmittel eignet. Ein bisschen echt, ein bisschen viel. Und insgesamt genug, um Unsicherheit und Angst zu schüren.
„Alt“ bedeutet nicht, dass der Vorfall harmlos ist
Viele hoffen bei „älteren“ Daten auf eine passive Entwarnung. In diesem Fall funktioniert das aber leider nicht. Eine E-Mail-Adresse bleibt oft länger gültig als eine Kreditkarte. Und selbst wenn die Aktivität Jahre zurückliegt, bleibt sie weiterhin verwertbar. Das reicht für Drohmails, für Outings und für den Klassiker unter den Erpressungsversuchen: „Bezahle uns, sonst sende ich deinen Facebook-Freunden, worauf du stehst“.
Dazu kommt, dass sich alle gegenseitig die Verantwortung zuschieben. Der Klassiker halt, keiner will zuständig sein. Wäre es kein Adultcontentanbieter, würde man meinen, man hätte es mit unseren Behörden zu tun. Mixpanel bestreitet laut Reuters, dass das Material aus dem Vorfall im November stammt. Man sagt, die Pornhub-Daten seien zuletzt 2023 über ein legitimes Mitarbeiterkonto beim Mutterkonzern per Social Engineering abgerufen worden. Gleichzeitig steht im Raum, dass Aylo Holdings die Firma Mixpanel seit 2021 angeblich nicht mehr genutzt habe, was eher nach alten Metadaten riecht. Das wirkt wie ein Widerspruch, ist aber oft die Realität von Daten, die in Exporten und Backups auf irgendeiner Instanz im System weiterleben.
Der eigentliche Schaden kommt per E-Mail zu dir nach Hause
Wer bei so einem Leak an eine Kontoübernahme denkt, denkt zu nerdig. Es geht am Ende nur ums Geld. Das ist alles. Der zweite Schritt ist fast immer die soziale Komponente. Drohtexte angereichert mit einem Hauch an Beweisen. Gerade bei diesem Thema reicht eine einzige echte Zeile, den Rest erledigt dann das Gehirn der Opfer. Diese Dynamik ist normal und nichts Neues. Solche Drohmails hatten wir in der Vergangenheit zu Genüge im Spamordner. Nur leider sind sie diesmal echt und basieren auf Videos, die man sich wirklich angeschaut hat. Wer möchte schon in die Verlegenheit kommen, dem eigenen Freundeskreis oder der Ehefrau den Hang zu einem sehr speziellen Fetisch erläutern zu müssen? Wohl niemand. Und selbst wenn man dieses spezielle Interesse nicht teilt, kann man die Not der Betroffenen dennoch gut nachvollziehen.
Dies ist kein Pornhub-Sonderfall
Der Mixpanel-Kontext ist größer, als man zunächst annehmen möchte. OpenAI hat Ende November offengelegt, dass Daten von Mixpanel exportiert wurden. Das Unternehmen weist explizit darauf hin, dass solche Informationen für Phishing und Social Engineering taugen. Das ist der gemeinsame Nenner von Pornhub und OpenAI. Nicht der Content ist das Problem, sondern das Tracking, mit dem jeder zusätzlich Geld verdienen möchte.
Wenn man aus der Sache eine Lehre ziehen will, dann keine mit moralischem Zeigefinger. Besser wäre eine simple wie pragmatische Lehre. Telemetriedaten waren und werden wohl nie niemals harmlos sein. Man muss sie minimieren und absichern, als würde man kritische Infrastruktur schützen wollen. Derartige Vorfälle können ansonsten leider immer wieder passieren. Daher sollte die EU in die DSGVO endlich die Vorgabe aufnehmen, die das Tracking minimiert und dafür sorgt, dass die entstehenden Daten ordentlich geschützt werden. Oder aber die EU verbietet das Tracking gleich komplett.
