Großangelegtes Datenleck betrifft Pornhub Premium-Nutzer
In einem bedeutenden Cybersicherheitsvorfall hat die berüchtigte Hacking-Gruppe ShinyHunters die Verantwortung für den Diebstahl von etwa 200 Millionen Datensätzen mit sensiblen Nutzerdaten des Erwachsenenunterhaltungs-Giganten Pornhub übernommen. Das Leck zielt speziell auf Premium-Abonnenten ab, die für werbefreie, hochauflösende Inhalte auf einer der weltweit meistbesuchten Websites zahlen.
Die gestohlenen Daten, insgesamt 94 GB laut Cybersicherheitsexperten, umfassen detaillierte Anzeigehistorie, Suchmuster, E-Mail-Adressen, geografische Standorte und Aktivitätszeitstempel von Premium-Nutzern. Obwohl Passwörter und Zahlungsdaten sicher zu sein scheinen, enthüllen die offengelegten Verhaltensdaten intime Details über die Sehgewohnheiten und Präferenzen der Nutzer.
Erpressungsforderungen und Lösegeld-Drohungen
ShinyHunters fordert ein Bitcoin-Lösegeld von Pornhubs Muttergesellschaft, Aylo (ehemals MindGeek), und droht, die gestohlenen Daten zu veröffentlichen, wenn ihre Forderungen nicht erfüllt werden. 'Wir haben die kompletten Anzeigehistorie und Suchmuster von Millionen Premium-Nutzern,' sagte ein Vertreter der Hacking-Gruppe gegenüber Reuters. 'Wenn das Lösegeld nicht gezahlt wird, werden diese Daten öffentlich gemacht und die privatesten Sehgewohnheiten der Nutzer offengelegt.'
Das Leck erfolgte Berichten zufolge über einen Kompromittierung beim Analytics-Anbieter Mixpanel, den Pornhub zur Verfolgung des Nutzerverhaltens einsetzt. Laut Bleeping Computer fand der initiale Angriff am 8. November 2025 über eine SMS-Phishing (Smishing) Kampagne gegen Mixpanel-Mitarbeiter statt.
Widersprüchliche Aussagen zum Leck
Es gibt erhebliche Unstimmigkeiten darüber, wie die Daten erlangt wurden. Mixpanel hat öffentlich die Verantwortung abgestritten und erklärt, dass die betreffenden Daten zuletzt 2023 legitim durch einen Aylo-Mitarbeiter aufgerufen wurden. 'Wir finden keine Beweise dafür, dass diese Daten während unseres Sicherheitsvorfalls im November gestohlen wurden,' sagte ein Mixpanel-Sprecher gegenüber The Register.
Cybersicherheitsforscher, die die gestohlenen Daten untersucht haben, bestätigen jedoch deren Authentizität. Mehrere von Reuters kontaktierten Nutzer verifizierten, dass die offengelegten Informationen mit ihren Premium-Abonnementdaten übereinstimmten, obwohl sie anmerkten, dass die Daten einige Jahre alt zu sein schienen.
ShinyHunters: Eine berüchtigte Cyberkriminelle Gruppe
ShinyHunters erlangte erstmals 2020 Bekanntheit und war für zahlreiche hochkarätige Datenlecks verantwortlich. Laut Wikipedia hat die Gruppe große Unternehmen ins Visier genommen, darunter Microsoft, AT&T, Santander und Wattpad, wobei sie meist Lösegeld fordern, um Datenlecks zu verhindern.
Im Jahr 2025 war die Gruppe besonders aktiv, fusionierte mit einer anderen Cyberkriminellen-Organisation namens Scattered Spider und entwickelte fortschrittlichere Angriffsmethoden. 'ShinyHunters hat sich von einfachem Zugangsdaten-Diebstahl zu komplexen Social-Engineering-Angriffen entwickelt,' erklärt Cybersicherheitsanalystin Maria Rodriguez. 'Ihre Zusammenarbeit mit Scattered Spider stellt eine gefährliche Eskalation ihrer Fähigkeiten dar.'
Mögliche Auswirkungen auf Nutzer
Das Leck stellt erhebliche Risiken für betroffene Nutzer dar, die über einfache Peinlichkeit hinausgehen. Sicherheitsexperten warnen, dass die detaillierten Verhaltensdaten für gezielte Erpressung, ausgeklügelte Phishing-Kampagnen oder Identitätsdiebstahl genutzt werden könnten.
'Hier geht es nicht nur um Sehpräferenzen,' sagt Datenschutz-Befürworter James Wilson. 'Die Daten umfassen Zeitstempel, Standorte und spezifische Suchbegriffe, die genutzt werden könnten, um Einzelpersonen zu identifizieren oder mit Erpressungsversuchen ins Visier zu nehmen. Menschen sollten äußerst vorsichtig mit Kommunikation sein, die vorgibt, etwas über ihre Sehgewohnheiten zu wissen.'
Pornhub, das laut Unternehmensstatistiken etwa 36 Milliarden Besuche pro Jahr erhält, hatte bereits früher Kontroversen, aber dies stellt einen der bedeutendsten Sicherheitsvorfälle dar. Das Mutterunternehmen, Ethical Capital Partners, räumte letzte Woche einen Sicherheitsvorfall ein, hat aber nicht spezifisch auf die Erpressungsforderungen reagiert.
Breitere Implikationen für digitale Privatsphäre
Dieser Vorfall unterstreicht wachsende Bedenken hinsichtlich Drittanbieter-Analytics-Providern und der enormen Menge an Verhaltensdaten, die sie sammeln. Mixpanel bedient etwa 8.000 Geschäftskunden, und das November-Leck hat möglicherweise Daten über mehrere Plattformen offengelegt.
'Das Pornhub-Leck ist nur die Spitze des Eisbergs,' warnt Cybersicherheitsforscher Dr. Alan Chen. 'Analytics-Unternehmen sammeln unglaublich detaillierte Verhaltensdaten, und wenn sie kompromittiert werden, betrifft die Nachwirkung Millionen Nutzer über mehrere Plattformen hinweg. Dies sollte ein Weckruf über die Datenschutzrisiken von Verhaltens-Tracking sein.'
Während sich die Situation entwickelt, wird betroffenen Nutzern geraten, ihre Konten auf verdächtige Aktivitäten zu überwachen, wachsam gegenüber Phishing-Versuchen zu sein, die auf ihre Anzeigehistorie verweisen, und die Nutzung datenschutzorientierter Browser oder VPNs für sensible Online-Aktivitäten in Betracht zu ziehen.