Videowebsite voor volwassenen Pornhub bevestigde onlangs dat de zoek- en kijkactiviteitsgegevens van enkele van zijn premium leden waren gelekt bij een beveiligingsincident van de externe analysedienstverlener Mixpanel en gebruikt voor chantage door de hackergroep ShinyHunters. Pornhub zei vorige week in een beveiligingsadvies dat het incident voortkwam uit een cyberaanval op Mixpanel. De betrokken gegevens betroffen slechts "enkele geavanceerde gebruikers" en vormden geen inbreuk op Pornhubs eigen systeem. Gebruikerswachtwoorden, betalingsinformatie en financiële gegevens werden niet openbaar gemaakt.

Volgens eerder bekendgemaakte informatie kreeg Mixpanel op 8 november 2025 te maken met een sms-phishing-aanval. Hackers gebruikten deze om het systeem binnen te dringen, waardoor een aantal klantgegevens lekten. Bedrijven als OpenAI en CoinTracker hebben eerder bevestigd dat zij door hetzelfde incident zijn getroffen. Pornhub zegt dat het vanaf 2021 geen gebruik meer maakt van de Mixpanel-service, wat betekent dat de momenteel gestolen gegevens historische analysegegevens uit 2021 en eerder zijn. Mixpanel zei dat een "beperkt aantal" klanten werd getroffen en benadrukte dat er momenteel geen bewijs is dat de partij Pornhub-gegevens die voor afpersing is gebruikt, afkomstig is van het beveiligingsincident in november.

BleepingComputer heeft vernomen dat ShinyHunters vorige week begon met het sturen van afpersings-e-mails naar meerdere Mixpanel-klanten, waarbij hij dreigde de gegevens die het bezat openbaar te maken als het losgeld niet werd betaald. In een losgeldbriefje dat naar Pornhub werd gestuurd, beweerde de groep 94 GB aan gegevens van Mixpanel te hebben gestolen, met daarin meer dan 200 miljoen records met betrekking tot persoonlijke informatie. ShinyHunters bevestigde later aan de media dat de gegevens historische zoek-, kijk- en downloadactiviteiten van Pornhub Premium-leden uit 2012-1943 bestrijken.

Uit een klein voorbeeld dat door BleepingComputer werd beoordeeld, bleek dat de analytische gebeurtenisgegevens die Pornhub naar Mixpanel stuurde een grote hoeveelheid zeer gevoelige informatie over gebruikers bevatten. Deze velden omvatten het e-mailadres van het premiumlid, het activiteitstype, geografische locatie-informatie, videolink, videotitel, videogerelateerde trefwoorden en het specifieke tijdstip waarop de gebeurtenis plaatsvond. De soorten activiteiten die zijn waargenomen, zijn onder meer het bekijken van video's, het downloaden van video's en het bladeren door kanalen. ShinyHunters zei ook dat het ook zoekgeschiedenisgegevens van gebruikers bevat.

Vermeldenswaard is dat Mixpanel in haar reactie benadrukt dat niet is gebleken dat de gegevens die zijn gebruikt voor chantage zijn gestolen tijdens het beveiligingsincident in november 2025, en dat de betreffende gegevens voor het laatst zijn benaderd door een legitiem werknemersaccount van het moederbedrijf van Pornhub in 2023. Mixpanel zei dat als de gegevens nu in handen van ongeautoriseerde partijen vielen, dit ‘niet te wijten was aan een beveiligingsincident bij Mixpanel’. Pornhub heeft op verzoek van de media geen verdere details verstrekt dan de aankondiging.

ShinyHunters is de afgelopen jaren veelvuldig verschenen bij veel grote datalekken, voornamelijk door binnen te dringen bij verschillende met Salesforce geïntegreerde dienstverleners, vervolgens toegang te krijgen tot de Salesforce-instantie van de onderneming en een grote hoeveelheid bedrijfsgegevens te stelen. De groep is in verband gebracht met eerder blootgestelde exploits van een zero-day kwetsbaarheid in Oracle E-Business Suite (CVE-2025-61884), evenals aanvallen op Salesforce/Drift die eerder dit jaar gevolgen hadden voor tal van organisaties. Nog verder gaand: ShinyHunters wordt er ook van beschuldigd het klantensuccesplatform GainSight te hebben gehackt om nog meer gegevens van de organisatie te stelen die worden gehost in een Salesforce-omgeving.

Nu is bevestigd dat ShinyHunters ook achter dit Mixpanel-gerelateerde incident zit, is de groep een van de meest schadelijke datalekken van 2025 geworden, waarbij honderden bedrijven betrokken zijn. Tegelijkertijd bouwt de groep een nieuw ransomware-as-a-service-platform genaamd "ShinySp1d3r" en werkt ze samen met bedreigingsactoren zoals Scattered Spider om grootschalige ransomware-aanvallen uit te voeren, waardoor de invloed ervan in het cybercriminele ecosysteem verder wordt vergroot.