Wyciek 340 milionów kont OnlyFans to nie włamanie, i to jest groźne

Zbiór danych reklamowany jako dane osobowe 340 milionów użytkowników OnlyFans trafił na sprzedaż na znanym forum z wyciekami, za ułamek jednego Bitcoina. Ogłoszenie obiecuje adresy e-mail, numery telefonów, prawdziwe imiona i nazwiska, ostatnie cztery cyfry karty płatniczej oraz szczegół, który na takiej platformie waży najwięcej: konta w mediach społecznościowych powiązane z każdym profilem.

W niemal każdej innej usłudze byłby to zwykły problem z prywatnością. W OnlyFans jest ostrzejszy. Cała relacja między platformą a jej użytkownikami opiera się na murze oddzielającym prawną tożsamość człowieka od tego, co robi za paywallem. Plik, który łączy prawdziwe nazwisko i numer telefonu z kontem OnlyFans, to narzędzie stworzone właśnie po to, by ten mur zburzyć, a prawdziwe czy nie, jest kierowane do kupujących, którzy chcą dokładnie tego.

Sprzedający opisuje jeden rekord na konto: identyfikator, nazwę użytkownika, pełne imię i nazwisko, datę rejestracji, e-mail, telefon, liczbę obserwujących i polubień, ilość opublikowanych treści, oznaczenie, czy konto należy do fana, czy do twórcy, oraz odnośniki do profili w innych sieciach. Żąda 0,313 Bitcoina, około siedemdziesięciu sześciu tysięcy dolarów za cały zestaw. Sprzedawane w ten sposób przypomina mniej arkusz kalkulacyjny, a bardziej pakiet celów. Pole z powiązanymi profilami zamienia bazę danych w broń: dla twórcy połączenie konta OnlyFans ze zweryfikowanym Instagramem znosi rozdział, na którym opiera się jego działalność.

OnlyFans twierdzi, że nic takiego się nie wydarzyło. „Te doniesienia są fałszywe”, odpowiedział rzecznik serwisowi zajmującemu się bezpieczeństwem, który ujawnił ogłoszenie. Sama liczba budzi wątpliwości: 340 milionów to niemal cała baza zarejestrowanych użytkowników, czyli ten okrągły, całościowy wynik, który rzadko przetrwa zderzenie z prawdziwym włamaniem. A najmocniejszy argument przeciw włamaniu podał sam sprzedający: zapytany, przyznał, że dane nigdy nie pochodziły z OnlyFans. Złożył je, krzyżując starsze wycieki z innych platform, w tym Twittera, Instagrama i Spotify, z już publicznymi danymi profili. To kompilacja, nie włamanie.

To rozróżnienie jest całą historią, a podziemny rynek żyje z jego zacierania. Prawdziwy wyciek wynosi dane, których opinia publiczna nigdy nie miała; kompilacja przestawia dane, które już wyciekły gdzie indziej, i nadaje im nową, przerażającą markę. „OnlyFans” sprzedaje się na forum tak, jak nigdy nie sprzedałaby się „lista zbudowana z pięcioletnich danych z Twittera”. Rzekome miliardowe „włamania” do WhatsAppa czy Gmaila, które co jakiś czas wracają, działają tak samo i niemal zawsze okazują się przetworzonymi listami danych logowania.

Nic z tego nie czyni pliku nieszkodliwym. Bronią jest tu powiązanie, nie nowość. Nazwisko już publiczne w jednym miejscu i e-mail, który wyciekł w innym, osobno znaczą niewiele; połączone z kontem OnlyFans stają się mapą prowadzącą od codziennej tożsamości człowieka do jego konta z treściami dla dorosłych. Ta mapa to surowiec dla wiadomości z sekstorsją, które cytują prawdziwe szczegóły, by wyglądać wiarygodnie, dla phishingu wymierzonego w konta wypłat twórców oraz dla nękania i podszywania się, których wielu już doświadcza, teraz bez konieczności, by napastnik sam wykonał segregację.

Każdy, kto kiedykolwiek powiązał konto na Instagramie lub X z profilem OnlyFans, fan czy twórca i na dowolnym rynku, powinien założyć, że to powiązanie już da się odnaleźć, a teraz być może jest zapakowane na sprzedaż. Rada specjalistów jest mało efektowna: każdą wiadomość, która zdaje się „znać” twoją aktywność na OnlyFans, traktuj jako narzędzie nacisku, a nie dowód, nigdy nie płać za szantaż i włącz uwierzytelnianie dwuskładnikowe, by samo wykradzione hasło nie wystarczyło do otwarcia konta. Ogłoszenie wciąż wisi, a badacze przeglądają próbki, by zmierzyć, ile jest w nich prawdy, recyklingu albo zwykłej fikcji, czyli jedyne pytanie, od którego naprawdę zależy cena. Dopóki znane nazwisko na forum jest warte więcej niż dane, które za nim stoją, kolejny „megawyciek” już powstaje z resztek dziesięciu poprzednich.