- Pornhubは、Mixpanelの侵害により一部のPremiumユーザーデータが露出したものの、パスワードや決済情報は含まれないと説明
- Mixpanelは、11月の侵害でPornhubのデータが漏えいしたという見方に異議を唱える一方、ShinyHuntersが犯行声明
- 攻撃者はメールや活動詳細、視聴メタデータを含む機微な記録94GBを保有しているとされる
アダルトサイトPornhubは、サードパーティのサプライチェーン攻撃の一環として、一部のPremium会員のデータが侵害されたことを明らかにしました。
同社サイトに掲載された12月12日付のデータ侵害通知書簡でPornhubは、同社が2021年以降取引のないサードパーティのデータ分析プロバイダーMixpanelが、正体不明の脅威アクターにより侵害されたと説明しました。
その結果、ハッカーは同プラットフォームのPremiumユーザーによって生成された一部の機微なデータを入手したといいます。パスワード、認証情報、決済情報、政府発行IDは盗まれていないと強調しました。
目立たないところに潜む
「同じ攻撃の一環として侵害を受けたGoogle、ChatGPTなどと同様に、Mixpanelからこの侵害について通知を受けました」と同社は述べています。「当社は2021年以降Mixpanelと取引していませんが、この事案について皆さまにお知らせする責任があります」
Pornhubは、侵害の影響を受けた人数、盗まれた情報の性質、攻撃者の身元など、追加の詳細は共有しませんでした。
同社は「包括的な社内調査」を開始し、関係当局およびMixpanelとも連携したとしています。また、特にPornhubからのものだと主張する受信メールに対して「警戒を怠らない」ようユーザーに呼びかけました。
Pornhubが言及する侵害(GoogleやChatGPTにも影響)は、2025年11月に明らかになり、Mixpanelの侵害はランサムウェア集団ShinyHuntersによるものとされました。
しかし、この攻撃をめぐっては相反する報告もあり、たとえばMixpanelはBleepingComputerに対し、その特定の事案でPornhubのデータが持ち去られたとは考えていないと伝えています。
「Mixpanelは、Pornhubが当社から盗まれたとされるデータで恐喝を受けているという報道を把握しています」とMixpanelは同メディアに述べました。「2025年11月のセキュリティインシデント、あるいはそれ以外のいずれにおいても、このデータがMixpanelから盗まれたことを示す兆候は見当たりません」
「このデータに最後にアクセスしたのは、2023年にPornhubの親会社における正当な従業員アカウントでした。もしこのデータが権限のない第三者の手に渡っているとしても、それがMixpanelにおけるセキュリティインシデントの結果だとは考えていません」
同メディアはまた、ShinyHuntersが侵害の背後にいることを認めたとも伝えています。彼らは94GBのデータを盗み、2億件超のレコードを保有していると主張しています。盗んだ情報が極めて機微であることを示すとされるサンプルを共有しており、そこにはメールアドレス、アクティビティ種別、位置情報、動画URL、動画名、動画に関連するキーワード、視聴時刻が含まれているといいます。
