海外の成人向けサイトであるポーンハブ(Pornhub)で有料会員の個人データと詳細な視聴記録が大規模に流出する事故が発生した。ハッカー集団は2億件を超えるプレミアムアカウント情報を確保したと主張し、ビットコインなどを要求する金銭的な脅迫に乗り出した。
16日(現地時間)、デーリーメールなどの海外メディアは、ポーンハブが2億人以上の有料会員に対しセキュリティ侵害の事実を通知したと報じた。今回の事件は、ポーンハブが利用者分析のために使用していた第三者事業者である「ミックスパネル(Mixpanel)」のシステムがハッキングされたことにより始まった。
ハッカーはこのプラットフォームに保存されたデータにアクセスし、有料会員のメールアドレス、位置情報、視聴した動画のタイトル、検索キーワード、接続時間などの詳細な活動記録を窃取した。ハッカー側は、窃取したデータが約94GBの分量であり、2億件以上の個別記録が含まれていると主張した。
ポーンハブ側は公式声明を通じて「最近、第三者のデータ分析サービス提供業者であるミックスパネルに保存されていた分析データに、承認されていない当事者が無断でアクセスした事実を把握した」とし、「無断アクセスを通じて一部ユーザーの限定的な分析イベントのセットを抽出することが可能だった」と明らかにした。
ただしポーンハブは、今回の事故が自社の内部システムへの直接的な侵害ではない点を強調した。パスワードやログイン情報、決済情報、身分証などの機微な中核アカウント情報は流出しておらず、該当アカウントを安全に措置し無断アクセスを遮断したと付け加えた。また、2023年以降はミックスパネルと協業していないため、流出した記録は2023年以前の過去データである可能性が大きいと説明した。
今回の攻撃の背後には有名ハッカー集団「シャイニーハンターズ(ShinyHunters)」が指摘されている。彼らは過去にも複数のグローバル企業を相手にデータ流出をネタにした脅迫を繰り返してきた前歴がある。ミックスパネルのCEOであるジェン・テイラーは「無断アクセスを遮断し、影響を受けたユーザーアカウントを保護するため包括的な措置を講じた」と述べ、「事件対応のため外部のサイバーセキュリティパートナーと協力中だ」と語った。
ポーンハブは現在、社内調査と並行して当局に事実を通報した状態だ。会社側は公式声明を通じて「調査が進行する間、すべてのユーザーは不審なメールや異常な活動がないかアカウントを監視し、警戒を緩めないことを推奨する」と呼びかけ、フィッシング攻撃への注意を促した。