- ダークウェブの出品では、3億4000万件のOnlyFansクリエイターおよびユーザーのレコード(個人識別情報やアカウント活動指標を含む)が販売されていると主張している
- OnlyFansは侵害を否定しており、Cybernewsの分析によると、このデータセットは内部ダンプではなく、過去の流出データや公開ソースをまとめたコンピレーションである可能性が高い
- たとえ信憑性がなくとも、流出したメールアドレスやメタデータは、クリエイターやユーザーへのフィッシング、プロファイリング、スパム、嫌がらせに悪用される恐れがある
OnlyFansのクリエイターおよびユーザーの個人識別情報(PII)を含むとされる巨大なデータベースが、ダークウェブ上で販売されていると主張されている。ただし、データの真正性は疑問視されており、その入手方法も同社サーバーへの実際の侵害を示唆するものではない。
Cybernewsのセキュリティ研究者らは、ダークウェブのフォーラムでOnlyFansの内部データベースからスクレイピングされた3億4000万件のレコードを販売するという新たな広告を発見したと報告した。
「この出品では、約3億5000万件のユーザーレコードを含むとされるOnlyFansの内部データベースダンプへの独占アクセスが提供されている」と投稿には記されている。「このデータセットはファンアカウントとクリエイターアカウントの両方を網羅しており、幅広い個人識別情報と詳細なアカウント活動指標が露出している。」
「虚偽の報告」
この投稿はさらに、アーカイブにはユーザー名、登録日、メールアドレス、フォロワー数、いいね数、写真数、動画数、配信数、支払いカード情報、およびリンクされたプロフィールが含まれると主張している。
このニュースについてコメントを求められた同社の広報担当者は、Cybernewsに対し「非公式な発言として、これらの報告は虚偽である」と述べた。
同メディアの研究者たちもダークウェブに投稿されたサンプルを分析したが、内容は期待外れであり、アーカイブが本物かどうか断定することはできなかったとしている。
「サンプルだけでは、データの実際の規模を確認することはできません。しかし、サンプルからは、データが流出した人物がフィッシングの標的になり得ることが示されています」とチームは説明した。
「ただし、メールアドレスだけでも機密性の高い偵察情報となり得ます。脅威アクターはこの情報を使って、他のアダルトコンテンツサイトの情報と照合し、流出した個人のプロファイリングを行う可能性があります。」
ハッカーたちはOnlyFansに侵入したとは述べておらず、むしろ過去のOnlyFansの流出データをまとめ、公開ソースや他のデータ侵害、各種の公開情報と照合したと説明している。
Cybernewsはこれが事実である可能性を示唆しつつも、たとえそのような形であっても、このアーカイブは非常に危険なものになり得ると結論付けている。
「もしこれがコンピレーションであれば、そのデータは偵察やプロファイリングに利用される可能性があります。たとえば、攻撃者はユーザーのメールアドレスが複数のウェブサイトで使い回されているかどうか、あるいはさらなる機密情報が流出していないかを調査することができます。また、流出したクリエイターの連絡先情報が、彼らへのスパムや嫌がらせにつながる恐れもあります」とCybernewsチームは結論付けた。
