Gigantyczny wyciek z OnlyFans. Na sprzedaż trafiły dane 340 mln użytkowników

Cyberprzestępcy twierdzą, że zdobyli i wystawili na sprzedaż aż 340 milionów rekordów użytkowników serwisu OnlyFans. Jeśli informacje okażą się prawdziwe, konsekwencje mogą być ogromne zarówno dla twórców, jak i zwykłych subskrybentów, którzy przez lata liczyli na anonimowość.

Sprawa błyskawicznie wywołała panikę na forach technologicznych i w społeczności cyberbezpieczeństwa. Szczególnie dlatego, że według hakerów baza ma zawierać nie tylko adresy e-mail i nazwy użytkowników, ale również szczegółowe dane dotyczące aktywności kont oraz powiązania z profilami społecznościowymi. Sama platforma odpiera zarzuty i twierdzi, że informacje o wycieku są nieprawdziwe.

Hakerzy mówią o setkach milionów rekordów

Ogłoszenie o sprzedaży danych pojawiło się na popularnym forum wykorzystywanym przez cyberprzestępców do handlu wyciekami. Autorzy wpisu przekonują, że dysponują gigantyczną bazą pochodzącą z „wewnętrznych systemów OnlyFans”. Według opisu baza obejmuje zarówno konta twórców, jak i subskrybentów platformy. Cyberprzestępcy twierdzą, że zgromadzili dane dotyczące około 340 milionów użytkowników.

To liczba robiąca ogromne wrażenie. OnlyFans należy dziś do największych platform subskrypcyjnych na świecie. Serwis ma ponad 4,5 miliona twórców i setki milionów użytkowników. Dla wielu osób korzystających z platformy anonimowość była jednym z kluczowych elementów całego systemu.

Co miało trafić do sieci?

Według informacji opublikowanych przez osoby odpowiedzialne za sprzedaż danych baza zawiera nazwy użytkowników, adresy e-mail, daty rejestracji, liczbę obserwujących oraz szczegółowe statystyki aktywności kont.

Pojawiają się również wzmianki o liczbie zdjęć, filmów i transmisji publikowanych przez twórców. Hakerzy wspominają nawet o danych kart płatniczych, choć na tym etapie nie ma żadnego potwierdzenia, że rzeczywiście znalazły się one w wycieku.

Badacze cyberbezpieczeństwa, którzy przeanalizowali próbkę opublikowaną na forum, znaleźli jedynie kilka rekordów zawierających adresy e-mail, identyfikatory użytkowników oraz profile rejestracyjne. To za mało, aby potwierdzić skalę całego incydentu. Eksperci zwracają jednak uwagę, że nawet częściowe dane mogą stać się potężnym narzędziem do profilowania użytkowników i prowadzenia ataków phishingowych.

Największy problem? Łączenie danych z różnych wycieków

Najbardziej niepokojący scenariusz nie dotyczy samego OnlyFans, lecz możliwości zestawiania danych z wielu różnych naruszeń bezpieczeństwa. Cyberprzestępcy od lat budują ogromne bazy adresów e-mail pochodzących z wycieków serwisów streamingowych, sklepów internetowych, platform społecznościowych czy aplikacji randkowych. Jeśli użytkownik korzystał z tego samego adresu e-mail na kilku platformach, anonimowość może bardzo szybko zniknąć.

Eksperci ostrzegają, że nawet pojedynczy adres e-mail może wystarczyć do połączenia kont OnlyFans z profilami w innych serwisach. W praktyce mogłoby to prowadzić do ujawnienia prawdziwej tożsamości twórców oraz subskrybentów. To właśnie ten element wywołuje największy niepokój wśród użytkowników platformy.

Dla milionów internautów anonimowość w sieci zaczyna przypominać iluzję. Nawet jeśli żadna pojedyncza platforma nie ujawni pełnych danych, cyberprzestępcy potrafią składać informacje z wielu miejsc niczym puzzle.

OnlyFans zaprzecza. Firma mówi o fałszywych informacjach

Przedstawiciele OnlyFans szybko odnieśli się do sprawy. Rzecznik firmy stwierdził, że doniesienia dotyczące rzekomego wycieku są fałszywe. Na razie platforma nie poinformowała, czy prowadzi wewnętrzne dochodzenie dotyczące publikowanych danych. Nie wiadomo również, czy baza rzeczywiście pochodzi z włamania do systemów OnlyFans.

Według części źródeł cyberprzestępcy sami przyznają, że nie doszło do bezpośredniego ataku na platformę. Dane miały zostać zebrane z wcześniejszych wycieków, publicznych źródeł oraz innych naruszeń bezpieczeństwa.

To coraz częstszy model działania w cyberprzestępczym świecie. Zamiast włamywać się do jednego systemu, grupy hakerskie budują ogromne profile użytkowników poprzez łączenie danych rozsianych po internecie.

Użytkownicy mogą stać się celem phishingu i szantażu

Specjaliści od cyberbezpieczeństwa ostrzegają, że nawet jeśli wyciek okaże się częściowo nieprawdziwy, sama publikacja takich informacji może uruchomić falę oszustw.

Cyberprzestępcy bardzo często wykorzystują medialny rozgłos wokół wycieków danych do rozsyłania fałszywych wiadomości e-mail, podszywania się pod firmy i wyłudzania loginów czy haseł. W przypadku platformy dla dorosłych ryzyko jest jeszcze większe. Oszuści mogą próbować wykorzystywać strach użytkowników przed ujawnieniem aktywności w serwisie.

Eksperci zalecają zachowanie szczególnej ostrożności wobec wiadomości dotyczących OnlyFans, resetów haseł i podejrzanych linków pojawiających się w skrzynkach mailowych.