Une fuite de données massive touche les utilisateurs premium de Pornhub
Dans un incident de cybersécurité majeur, le groupe de piratage notoire ShinyHunters a revendiqué la responsabilité du vol d'environ 200 millions d'enregistrements contenant des données utilisateurs sensibles du géant du divertissement pour adultes Pornhub. La fuite cible spécifiquement les abonnés premium qui paient pour du contenu sans publicité et en haute résolution sur l'un des sites les plus visités au monde.
Les données volées, totalisant 94 Go selon des experts en cybersécurité, comprennent des historiques de visionnage détaillés, des modèles de recherche, des adresses e-mail, des localisations géographiques et des horodatages d'activité des utilisateurs premium. Bien que les mots de passe et les données de paiement semblent rester sécurisés, les données comportementales exposées révèlent des détails intimes sur les habitudes et préférences de visionnage des utilisateurs.
Demandes de rançon et menaces
ShinyHunters exige une rançon en Bitcoin de la société mère de Pornhub, Aylo (anciennement MindGeek), et menace de publier les données volées si leurs exigences ne sont pas satisfaites. 'Nous avons les historiques de visionnage complets et les modèles de recherche de millions d'utilisateurs premium,' a déclaré un représentant du groupe de piratage à Reuters. 'Si la rançon n'est pas payée, ces données seront rendues publiques, exposant ainsi les habitudes de visionnage les plus privées des utilisateurs.'
La fuite se serait produite via un compromis chez le fournisseur d'analytique Mixpanel, que Pornhub utilise pour suivre le comportement des utilisateurs. Selon Bleeping Computer, l'attaque initiale a eu lieu le 8 novembre 2025 via une campagne de phishing par SMS (smishing) ciblant les employés de Mixpanel.
Déclarations contradictoires sur la fuite
Il existe un désaccord considérable sur la manière dont les données ont été obtenues. Mixpanel a publiquement nié toute responsabilité et affirme que les données en question ont été consultées pour la dernière fois légitimement par un employé d'Aylo en 2023. 'Nous ne trouvons aucune preuve que ces données aient été volées lors de notre incident de sécurité en novembre,' a déclaré un porte-parole de Mixpanel à The Register.
Cependant, des chercheurs en cybersécurité qui ont examiné les données volées en confirment l'authenticité. Plusieurs utilisateurs contactés par Reuters ont vérifié que les informations exposées correspondaient à leurs données d'abonnement premium, tout en notant que les données semblaient avoir plusieurs années.
ShinyHunters : Un groupe cybercriminel notoire
ShinyHunters s'est fait connaître pour la première fois en 2020 et a été responsable de nombreuses fuites de données à haut profil. Selon Wikipedia, le groupe a ciblé de grandes entreprises, notamment Microsoft, AT&T, Santander et Wattpad, exigeant généralement une rançon pour éviter la publication des données.
En 2025, le groupe a été particulièrement actif, fusionnant avec une autre organisation cybercriminelle appelée Scattered Spider et développant des méthodes d'attaque plus sophistiquées. 'ShinyHunters est passé du simple vol d'identifiants à des attaques d'ingénierie sociale complexes,' explique l'analyste en cybersécurité Maria Rodriguez. 'Leur collaboration avec Scattered Spider représente une escalade dangereuse de leurs capacités.'
Impact potentiel sur les utilisateurs
La fuite présente des risques considérables pour les utilisateurs touchés, au-delà de la simple gêne. Les experts en sécurité avertissent que les données comportementales détaillées pourraient être utilisées pour du chantage ciblé, des campagnes de phishing avancées ou du vol d'identité.
'Il ne s'agit pas seulement de préférences de visionnage,' déclare le défenseur de la vie privée James Wilson. 'Les données incluent des horodatages, des localisations et des termes de recherche spécifiques qui peuvent être utilisés pour identifier ou cibler des individus avec des tentatives de chantage. Les gens doivent être extrêmement prudents avec les communications prétendant connaître leurs habitudes de visionnage.'
Pornhub, qui selon les statistiques de l'entreprise reçoit environ 36 milliards de visites par an, a déjà été confronté à des controverses, mais cet incident représente l'un des plus importants en matière de sécurité. La société mère, Ethical Capital Partners, a reconnu la semaine dernière un incident de sécurité mais n'a pas spécifiquement répondu aux demandes de rançon.
Implications plus larges pour la vie privée numérique
Cet incident souligne les préoccupations croissantes concernant les fournisseurs d'analytique tiers et les quantités massives de données comportementales qu'ils collectent. Mixpanel dessert environ 8 000 clients professionnels, et la fuite de novembre a potentiellement exposé des données sur plusieurs plateformes.
'La fuite de Pornhub n'est que la partie émergée de l'iceberg,' avertit le chercheur en cybersécurité Dr. Alan Chen. 'Les entreprises d'analytique collectent des données comportementales incroyablement détaillées, et lorsqu'elles sont compromises, les répercussions touchent des millions d'utilisateurs sur plusieurs plateformes. Cela devrait être un signal d'alarme sur les risques pour la vie privée liés au suivi comportemental.'
Alors que la situation évolue, il est conseillé aux utilisateurs affectés de surveiller leurs comptes pour toute activité suspecte, d'être vigilants face aux tentatives de phishing faisant référence à leur historique de visionnage, et d'envisager d'utiliser des navigateurs ou des VPN axés sur la vie privée pour les activités en ligne sensibles.