音楽共有プラットフォームのSoundCloudとポルノ大手のPornHubは今週、ハッカーが内部データにアクセスできるようになった最近のサイバーセキュリティ侵入について、顧客に警告した。
カナダ拠点のEthical Capital Partnersが所有するPornHubは、多くのユーザーにメールを送信し、データ分析サービス提供会社Mixpanelの最近の侵害の影響を受けたと警告する声明を公開した。
PornHubによると、ハッカーはMixpanelを通じたアクセスを利用して「一部のユーザーについて、限定的な分析イベントのセットを抽出」したという。PornHubは、Pornhub Premiumのシステムは侵害されておらず、支払い情報や金融情報は漏えいしていないと述べた。
コメントを求められたPornHubは、影響を受けたユーザー数や盗まれた情報の内容について明らかにすることを拒否した。複数の報道機関が、著名なハッカー集団が盗んだデータを漏えいすると脅してPornHubを恐喝しているとされる件を報じたが、その主張は確認できなかった。
同社は、法執行機関およびMixpanelと協力して問題を調査していると述べた。ReutersへのコメントでMixpanelは、PornHubから盗まれたとされるデータについて自社に責任があることを否定した。
Mixpanel自体も11月27日にセキュリティインシデントを報告し、CEOのJen Taylorはサイバー攻撃が最初に発見されたのは11月8日だと記した。同社は侵害に関する詳細をほとんど明かさず、「スミッシング」キャンペーンの被害に遭ったこと、攻撃の影響を受けた顧客全員に連絡したことのみを記した。
OpenAIはその1日前に、Mixpanelの侵害の影響を受けた顧客の一社として名乗り出た。OpenAIはウェブ分析にMixpanelを使用しており、このインシデントの一環として一部のAPIユーザーのデータが盗まれたと述べた。
「2025年11月9日、Mixpanelは攻撃者が同社システムの一部に不正アクセスし、限定的な顧客識別情報および分析情報を含むデータセットをエクスポートしたことを把握しました」とOpenAIは11月26日の声明で述べた。「MixpanelはOpenAIに対し調査中であると通知し、2025年11月25日に影響を受けたデータセットを当社と共有しました。」
OpenAIから盗まれた情報には、APIユーザーの氏名、メールアドレス、所在地、オペレーティングシステム、その他の技術情報が含まれていた。OpenAIは本番サービスからMixpanelを削除し、影響を受けた組織への通知を進めているとしている。
Soundcloudも侵害
月曜日には、音楽共有プラットフォームのSoundcloudも同様のデータ侵害について顧客に警告するため名乗り出た。
SoundCloudはMixpanelの名前を挙げなかったものの、「付随サービスのダッシュボードで最近、不正な活動を検知した」と述べた。
SoundCloudのITチームは活動の封じ込めを試み、対応のためサイバーセキュリティの専門家を雇った。しかしハッカーのアクセスを制限しようとしたところ、サイトは「サービス拒否攻撃を受け、そのうち2件はウェブ上でのみ当社プラットフォームの可用性を一時的に無効化することができた」という。
「当社が保有する一定の限定的なデータに、脅威アクターとされるグループがアクセスしたことを把握しています。影響を受けたデータについて調査を完了しており、機微なデータ(金融情報やパスワードデータなど)にはアクセスされていません」と同社は述べた。
「関係したデータはメールアドレスと、公開されているSoundCloudプロフィール上ですでに閲覧可能な情報のみで、SoundCloudユーザーのおよそ20%に影響しました。SoundCloudデータへのいかなるアクセスも抑え込まれたと確信しています。」
SoundCloudには約2億人のユーザーがいるため、このインシデントは約4,000万人の顧客に影響した可能性が高い。
同社は、過去1週間に実施した一部のセキュリティ変更により、VPNを利用しているユーザーで接続性の問題が発生していると指摘した。
BleepingComputerは、Mixpanelへの攻撃の犯行声明を出したとされるShinyHuntersという著名なサイバー犯罪グループのメンバーに取材した。もし正しければ、これらの主張は、同グループのメンバーが今年仕掛けた、またしても注目度の高いハッキングキャンペーンを示すことになる。
同グループのメンバーは以前、Salesforceの顧客に侵入し、関連プラットフォームの抜け穴を悪用して、夏の間を通じて航空、保険、小売の企業に対する嫌がらせや恐喝を可能にしていた。
翻訳元: https://therecord.media/millions-impacted-pornhub-soundcloud-breaches
