Bạn có phải là thành viên Pornhub Premium không? Có lẽ bạn nên chú ý hơn đến thông báo về việc rò rỉ dữ liệu được mô tả là “một số sự kiện phân tích hạn chế”. Ngôn ngữ đó che giấu câu chuyện thực sự: Lịch sử xem và tìm kiếm của bạn hiện có thể nằm trong tay tin tặc, và việc nó có bị công khai hay không phụ thuộc vào việc Pornhub có trả tiền chuộc theo yêu cầu hay không.
Theo báo cáo của BleepingComputer, Pornhub cho biết vụ xâm phạm xảy ra thông qua một cuộc tấn công smishing (lừa đảo qua tin nhắn SMS) nhắm vào đối tác phân tích bên thứ ba Mixpanel. Vụ tấn công xảy ra vào ngày 8 tháng 11 và ban đầu được cho là có liên quan đến các vụ rò rỉ tại OpenAi và CoinTracker. Chỉ một số người dùng bị ảnh hưởng, và không có mật khẩu, chi tiết thanh toán, thông tin tài chính hoặc giấy tờ tùy thân nào bị đánh cắp. Công ty cũng cho biết mối quan hệ hợp tác của họ với Mixpanel đã kết thúc vào năm 2021.
Về phần mình, Mixpanel đã nói với BleepingComputer rằng “[dữ liệu] được truy cập lần cuối bởi một tài khoản nhân viên hợp pháp tại công ty mẹ của Pornhub vào năm 2023. Nếu dữ liệu này nằm trong tay một bên không được ủy quyền, chúng tôi không tin rằng đó là kết quả của một sự cố bảo mật tại Mixpanel.”
Kể từ thông báo ban đầu của Pornhub, nhóm mã độc tống tiền ShinyHunters đã công khai nhận trách nhiệm về vụ tấn công, thông qua các email gửi đến các công ty bị ảnh hưởng yêu cầu tiền chuộc để ngăn chặn việc phát tán dữ liệu. Dữ liệu của Pornhub nằm trong số những dữ liệu có khả năng gây thiệt hại nghiêm trọng nhất cho người dùng nếu bị phát tán, với bộ dữ liệu 94GB chứa lịch sử tìm kiếm, xem và tải xuống của hơn 200 triệu người đăng ký Pornhub Premium.
Trong báo cáo của mình, BleepingComputer cho biết họ đã xem xét các mẫu dữ liệu, bao gồm địa chỉ email của thành viên, loại hoạt động, vị trí, liên kết video, tên video, từ khóa liên quan đến video và thời điểm hoạt động của người dùng diễn ra. Đối với các loại hoạt động, BleepingComputer chỉ xác minh được liệu người đăng ký có xem hoặc tải xuống video, hoặc xem kênh hay không. Lịch sử tìm kiếm vẫn chưa được xác nhận là một phần của tập dữ liệu.
Vậy điều này có ý nghĩa gì đối với bạn, nếu bạn là người đăng ký Pornhub Premium lâu năm hoặc trước đây? Trước hết, đừng hoảng sợ. Đúng là đây có thể là hành vi xâm phạm quyền riêng tư nghiêm trọng. Nhưng nó không đáng để bạn phải thực hiện bất kỳ hành động cực đoan nào. Thay vào đó, hãy chuẩn bị cho bản thân trên những phương diện sau:
Tống tiền: Bạn có thể gặp rủi ro bị tống tiền sau này nếu Pornhub và ShinyHunters không đạt được thỏa thuận về khoản tiền chuộc và thông tin bị rò rỉ ra mạng tối (dark web) rộng lớn hơn. Tôi khuyên bạn không nên trả tiền dù chỉ một lần, vì điều đó có thể dẫn đến những yêu cầu thêm hoặc số tiền lớn hơn. Thay vào đó, hãy lên kế hoạch ngay từ bây giờ về cách bạn sẽ xử lý việc thông báo tin này (nếu cần thiết) cho gia đình, người chủ lao động, v.v. Hoặc làm thế nào để tự bảo vệ mình khỏi những phản ứng tiêu cực nếu điều đó không thể thực hiện được.
Lừa đảo: Những kẻ lừa đảo ngày càng tinh vi hơn trong cách tiếp cận nạn nhân, với các công cụ AI thực hiện phần lớn công việc tạo ra các chiến dịch chuyên biệt. Nếu dữ liệu của Pornhub bị rò rỉ, hãy cảnh giác với những tin nhắn hoặc lời mời phù hợp với sở thích của bạn. Ví dụ, bạn có thể trở thành nạn nhân của một vụ lừa đảo tình cảm.
Ẩn địa chỉ email của bạn: Hãy cân nhắc chuyển sang sử dụng địa chỉ email ẩn cho các tài khoản của bạn. Những địa chỉ email giả này sẽ che giấu địa chỉ email thật của bạn trong khi vẫn chuyển hướng tin nhắn về hộp thư chính, giúp ngăn chặn kẻ tấn công (và những người tò mò) xác định danh tính của bạn ngay lập tức hoặc xây dựng hồ sơ về bạn để lừa đảo hoặc tống tiền. Bạn thậm chí có thể dùng thử miễn phí!
Thật không may, việc rò rỉ dữ liệu sẽ chỉ tiếp tục xảy ra trong tương lai. Đối với hầu hết mọi người, những người có thể cảm thấy xấu hổ nếu người khác biết họ mua gì, xem gì hoặc sử dụng dịch vụ của ai, lựa chọn tốt nhất là không nên tin tưởng các công ty sẽ giữ an toàn thông tin của họ. Giờ đây, tôi cho rằng bất kỳ thông tin chi tiết nào tôi cung cấp cho một trang web đều có thể bị công khai mà không phải do lỗi của tôi, và tôi lên kế hoạch cho điều đó.