Data breach PornHub: cosa è successo davvero

Il nodo centrale del Data breach PornHub ruota attorno al data breach di Mixpanel, società di analisi dati utilizzata da numerose piattaforme digitali.
L’8 novembre 2025, Mixpanel è stata vittima di un attacco di SMS phishing (smishing) che ha portato alla compromissione di alcuni account interni.

Secondo le informazioni disponibili, ShinyHunters avrebbe ottenuto accesso a dataset storici appartenenti a diversi clienti, tra cui PornHub.
Il gruppo sostiene di aver sottratto 94 GB di dati e oltre 200 milioni di record collegati agli utenti Premium.

PornHub, dal canto suo, ha chiarito due punti fondamentali:

• Nessuna violazione diretta dei sistemi PornHub
• Collaborazione con Mixpanel interrotta nel 2021

Questo suggerisce che i dati coinvolti siano storici, e non riferiti all’attività recente degli utenti.

Quali dati sarebbero stati esposti

Secondo le informazioni diffuse, il Data breach PornHub riguarderebbe solo alcuni utenti Premium e non includerebbe dati finanziari.

I dati potenzialmente coinvolti includono:

• Cronologia di ricerca
• Video visualizzati o scaricati
• Canali visitati
• Timestamp delle attività
• URL e titoli dei contenuti
• Localizzazione approssimativa
• Nickname dell’account
• Indirizzo email

PornHub ha confermato che password, carte di credito e dati di pagamento non sono stati esposti.
Questo riduce il rischio immediato di frodi finanziarie, ma non elimina le criticità legate alla privacy.

Il vero punto sensibile resta infatti l’email di registrazione, soprattutto se già coinvolta in altri data breach passati.

Il ruolo di ShinyHunters e le incongruenze

Il gruppo ShinyHunters è noto per attacchi mirati e campagne di estorsione su larga scala.
Secondo quanto riportato, nelle ultime settimane avrebbe iniziato a inviare email di ricatto ai clienti coinvolti nel data breach Mixpanel.

Tuttavia, emerge una discrepanza importante.
Mixpanel sostiene che i dati di PornHub non sarebbero riconducibili alla violazione di novembre 2025, affermando che l’ultimo accesso a tali dataset risalirebbe al 2023, tramite un account ufficiale.

Questo lascia aperti diversi scenari:

• Dati ottenuti tramite accessi precedenti non autorizzati
• Dataset parziali o rielaborati
• Tentativo di amplificazione mediatica da parte degli hacker

Al momento, non esiste una conferma indipendente che colleghi in modo diretto i 94 GB citati da ShinyHunters all’attacco Mixpanel di novembre.

Privacy, percezione del rischio e cosa devono fare gli utenti

Il Data breach PornHub mostra ancora una volta come la sicurezza non dipenda solo dal servizio principale.
Anche quando una piattaforma non viene violata direttamente, i dati possono comunque emergere attraverso fornitori terzi.

Per gli utenti Premium coinvolti, i rischi concreti sono soprattutto:

• Phishing mirato
• Tentativi di estorsione
• Profilazione incrociata tramite email

Nonostante ciò, va chiarito un punto.
Senza una correlazione certa tra cronologia e identità reale, il rischio di esposizione personale resta limitato, a meno che l’email non sia già associata ad altri leak.

Il caso evidenzia quindi un tema chiave.
La gestione dei dati storici, anche dopo la fine di una collaborazione, è oggi uno dei principali punti critici della sicurezza digitale.