【量子位 2025年12月17日讯】一场由第三方数据分析服务商引发的数据安全危机正在持续发酵。12月16日,据TechCrunch披露,黑客团伙“Scattered Lapsus$ Hunters”(包含知名黑客组织ShinyHunters成员)宣称已窃取Pornhub付费会员的个人数据,并以此向Pornhub发起勒索。而这一事件的源头,是此前广泛使用的Web与移动分析工具Mixpanel的系统 breach——除Pornhub外,OpenAI、SoundCloud等多家企业均受波及,暴露了第三方数据服务商“一损俱损”的安全风险。
勒索核心:Pornhub会员隐私遭窃取,观看记录成“要挟筹码”
“Scattered Lapsus$ Hunters”在声明中表示,其通过Mixpanel的安全漏洞,获取了Pornhub Premium(付费会员)的核心数据,具体内容远超普通个人信息范畴,直接触及用户隐私底线:
-
身份与定位信息:包含会员注册邮箱地址、地理位置数据(可大致定位用户所在城市或区域);
-
详细观看行为记录:涵盖用户观看的视频名称、对应频道、视频链接,甚至关联视频的关键词标签(如内容类型、风格等),以及每条观看记录的精确时间戳;
-
设备与网络特征:根据Mixpanel的常规数据采集逻辑,被盗数据还可能包含用户的设备型号、屏幕尺寸、网络类型(Wi-Fi/蜂窝网络)、运营商信息等设备指纹,可用于进一步精准定位用户。
12月12日(周五),Pornhub已证实“受Mixpanel数据泄露影响”,但未披露具体受影响用户数量及数据泄露规模;而Bleeping Computer在12月15日(周一)获取的黑客数据样本显示,仅其中一个数据集就包含超10万条Pornhub会员记录。目前,黑客已向Pornhub发送勒索邮件,但未公开勒索金额与期限;ShinyHunters发言人在接受TechCrunch采访时仅透露“暂未向其他受影响企业发起勒索”,但拒绝说明Mixpanel breach共波及多少家公司。
危机源头:Mixpanel漏洞牵出“多米诺骨牌”,OpenAI、SoundCloud相继“中招”
此次事件的核心症结,在于Mixpanel的系统安全失守——这家服务超8000家企业的数据分析服务商,在11月8日就已发现系统遭未授权访问,但直至11月26日(美国感恩节前)才低调披露“影响部分企业客户”,且未提及具体受影响方,导致后续风险持续扩散:
-
OpenAI:紧急移除Mixpanel,强调核心数据未泄露据界面新闻报道,OpenAI在11月27日证实“是Mixpanel受影响客户之一”,但明确表示“事件仅涉及部分API用户的有限分析数据,ChatGPT及其他产品用户未受影响”。OpenAI指出,黑客未获取任何聊天记录、API请求内容、密码、支付信息或政府身份证件,且已在安全调查期间将Mixpanel从生产环境中彻底移除,同时审查了所有受影响数据集,未发现外部系统被波及的证据。
-
SoundCloud:20%用户信息泄露,含邮箱与公开资料12月12日,音频流媒体平台SoundCloud也确认“受Mixpanel事件影响”,约20%用户(估算超600万)的信息被窃取,包括用户邮箱地址及“已在SoundCloud公开资料中显示的内容”(如用户名、个人简介、公开播放列表等)。尽管SoundCloud强调“未涉及私密音频或账户密码”,但邮箱信息的泄露仍可能导致用户遭遇钓鱼攻击等后续风险。
-
Mixpanel:沉默应对,安全责任成焦点截至12月17日,Mixpanel CEO珍·泰勒(Jen Taylor)未回应TechCrunch的多次置评请求,其官网仅保留11月26日的简短声明,未补充任何关于漏洞原因、数据泄露范围或补救措施的细节。行业安全专家指出,Mixpanel作为第三方数据服务商,未及时披露受影响企业名单、未提供清晰的风险评估指南,导致多家客户“被动应对”,这种“延迟+模糊”的处理方式已违反欧盟《通用数据保护条例》(GDPR)及美国加州《消费者隐私法案》(CCPA)中关于数据泄露通知的相关规定。
黑客背景:“Scattered Lapsus$ Hunters”惯犯累累,今年已引发多起大规模数据泄露
发起此次勒索的“Scattered Lapsus$ Hunters”并非新面孔,而是由英语国家黑客组成的联盟,且包含曾多次引发安全事件的ShinyHunters成员,其作案特征明显——专攻企业第三方服务漏洞,以“窃取大规模数据+勒索/暗网出售”为主要牟利手段:
-
2025年重大作案记录:今年早些时候,该团伙曾通过攻击Salesforce与客户体验平台Gainsight的第三方集成工具,窃取了超200家企业的客户数据,涉及零售、医疗、金融等多个领域,其中部分数据被以比特币形式在暗网出售,单份企业客户名单售价高达10万美元;
-
ShinyHunters“黑历史”:作为联盟核心成员,ShinyHunters在2020-2024年间曾先后攻击过微软、任天堂、万豪等巨头的子系统,窃取并出售超1亿条用户数据,因“作案频率高、波及范围广”被FBI列为重点监控的黑客组织之一。
安全机构Recorded Future分析指出,这类黑客团伙之所以频繁瞄准“第三方服务商”,是因为“一次攻击可获取多家企业数据,性价比远高于单独攻击某一家公司”,而Mixpanel这类拥有超8000家客户的平台,自然成为“高价值目标”。
行业警示:第三方数据服务成“安全短板”,企业需重新审视供应链风险
此次Mixpanel数据泄露事件,再次暴露了企业“数据供应链”的脆弱性——许多公司在使用第三方分析、营销、客服工具时,往往忽视了这些工具的权限边界与安全防护能力,导致“自身合规但第三方失守”的被动局面:
-
数据授权“过度”隐患:多数企业在接入Mixpanel时,会授权其采集“用户行为全链路数据”,包括页面浏览、按钮点击、内容交互等细节,部分企业甚至会同步用户身份信息以实现“精准分析”,这种“全量授权”在第三方安全失守时,会直接导致核心用户数据泄露;
-
安全审核“形式化”问题:据21世纪经济报道此前调查,超60%的中小企业在选择第三方数据服务商时,仅审查其“资质证书”,未深入评估其系统安全架构、漏洞响应机制或历史安全事件,导致无法及时识别高风险合作伙伴;
-
用户隐私保护“盲区”:此次Pornhub会员观看记录泄露事件中,用户完全不知情自己的“私密行为数据”被传输至Mixpanel,也未被告知这些数据可能面临的安全风险,这一情况违反了“数据收集需明确告知用户”的隐私保护原则,也反映出企业在“第三方数据流转”环节的用户知情权保障缺失。
目前,Pornhub尚未公开是否会向黑客妥协,而FBI已就此次数据泄露事件启动调查(参考2014年“艳照门”事件中FBI介入黑客追踪的模式)。对于普通用户而言,安全专家建议:若近期使用过Pornhub、SoundCloud等平台,可优先修改账户密码,并警惕以“账户异常”“数据泄露核查”为由的钓鱼邮件;同时,在注册平台时尽量避免使用“唯一邮箱”,减少隐私数据跨平台关联的风险。
这场由Mixpanel引发的“数据安全多米诺”,不仅给涉事企业敲响警钟,更提醒整个行业:在数字化时代,第三方服务的安全不再是“别人家的事”,而是企业自身数据安全防线的重要组成部分——任何一环的失守,都可能引发无法挽回的隐私灾难与信任危机。
