Selon BleepingComputer, Pornhub fait l’objet d’une extorsion par le groupe ShinyHunters, qui affirme détenir des données d’analytics historiques liées aux membres Premium, prétendument issues de la brèche de l’analyste tiers Mixpanel.

  • Type d’incident: extorsion adossée à une exfiltration de données chez un fournisseur d’analytics (Mixpanel), initialement compromise le 8 novembre 2025 via smishing (SMS phishing). Pornhub indique que seuls des utilisateurs Premium sélectionnés sont concernés et que mots de passe et données financières n’ont pas été exposés. Pornhub précise n’avoir plus travaillé avec Mixpanel depuis 2021.

  • Données exposées et impact: ShinyHunters affirme détenir 94 Go et 201 211 943 enregistrements d’historiques de recherche, de visionnage et de téléchargement des membres Premium. Les événements analytiques partagés incluent: adresse e‑mail, type d’activité, localisation, URL et nom de la vidéo, mots‑clés, horodatage. Les e‑mails d’extorsion commenceraient par « We are ShinyHunters » et menacent de publication en l’absence de paiement. 🕵️‍♂️

  • Positions des parties: BleepingComputer indique que c’est la première confirmation publique liant ShinyHunters à la brèche Mixpanel. Après publication, Mixpanel déclare ne trouver aucune indication que ces données proviennent de son incident de novembre 2025, ajoutant que ces données ont été consultées en 2023 par un compte employé légitime de la maison-mère de Pornhub, et qu’un accès non autorisé ne résulterait pas, selon eux, d’un incident Mixpanel.

  • Contexte menace: ShinyHunters a multiplié en 2025 les intrusions via des intégrateurs Salesforce pour voler des données, est lié à l’exploitation du zero‑day Oracle E‑Business Suite (CVE‑2025‑61884), aux attaques Salesforce/Drift, et à une brèche chez GainSight. Le groupe lance un RaaS baptisé ShinySpid3r, et est désormais associé à des compromissions majeures touchant des centaines d’entreprises.

  • IOCs et TTPs:

    • TTPs:
      • Smishing (SMS phishing) pour compromettre Mixpanel (08/11/2025)
      • Extorsion par e‑mail (message d’ouverture: « We are ShinyHunters »)
      • Compromission d’intégrateurs Salesforce pour accéder à des instances Salesforce
      • Exploitation de CVE‑2025‑61884 (Oracle E‑Business Suite)
      • Campagne visant des clients Mixpanel et brèches associées (GainSight, Salesforce/Drift)
    • IOCs: non fournis dans l’article

Il s’agit d’un article de presse spécialisé dont l’objectif est d’informer sur l’extorsion visant Pornhub, le lien avec Mixpanel et l’attribution à ShinyHunters, ainsi que de situer cet épisode dans une série plus large de compromissions en 2025.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/pornhub-extorted-after-hackers-steal-premium-member-activity-data/