Trang web "khâu diêm" lớn nhất thế giới bị hacker tống tiền, dọa tung 200 triệu lịch sử xem video "nhạy cảm" của người dùng

[Khôi Nguyên]

Cộng đồng bảo mật quốc tế đang hết sức chú ý vào một vụ rò rỉ dữ liệu quy mô lớn nhắm vào nền tảng video người lớn PornHub. Nhóm tin tặc khét tiếng ShinyHunters vừa đưa ra lời đe dọa sẽ công khai hơn 200 triệu bản ghi chứa thông tin riêng tư của người dùng nếu không nhận được khoản tiền chuộc, đẩy hàng triệu thành viên vào nguy cơ bị lộ danh tính và lịch sử truy cập.

​

Nguy cơ lộ lọt lịch sử truy cập và thông tin cá nhân​

Vào ngày 15/12, trang tin an ninh mạng Bleeping Computer xác nhận rằng nhóm hacker ShinyHunters đã bắt đầu gửi email tống tiền tới các khách hàng của Mixpanel, một dịch vụ cung cấp công cụ phân tích tương tác người dùng cho nhiều doanh nghiệp lớn. Trong email gửi đích danh tới PornHub, nhóm tin tặc tuyên bố đang nắm trong tay khối dữ liệu khổng lồ lên tới 94 GB. Tập tin này chứa khoảng 201.211.943 bản ghi thông tin cá nhân, được cho là đã bị đánh cắp trong một cuộc tấn công nhắm vào Mixpanel hồi tháng 11 vừa qua.

Mức độ nghiêm trọng của vụ việc nằm ở tính chất nhạy cảm của dữ liệu. Dựa trên các mẫu thông tin được hé lộ, các chuyên gia nhận định đây là những dữ liệu mà người dùng chắc chắn không muốn bị công khai. Cụ thể, kho dữ liệu này bao gồm địa chỉ email của các thành viên cao cấp (Premium), thông tin định vị, nhật ký tương tác, tên và địa chỉ các video đã truy cập, từ khóa tìm kiếm và thời gian xem cụ thể. ShinyHunters cũng xác nhận rằng hồ sơ bao gồm cả lịch sử tìm kiếm, theo dõi và tải xuống video của người dùng, tạo nên một kịch bản ác mộng về quyền riêng tư đối với những người bị ảnh hưởng.

Màn tranh cãi về nguồn gốc rò rỉ dữ liệu​

Ngay sau khi thông tin về vụ tống tiền được phát đi, đại diện PornHub đã nhanh chóng gửi thông báo trấn an đến các thành viên Premium. Nền tảng này khẳng định hệ thống của họ không bị tấn công trực tiếp và trách nhiệm thuộc về đối tác cũ là Mixpanel. Theo PornHub, đây là những dữ liệu cũ do hai bên đã chấm dứt hợp tác từ năm 2021. Đồng thời, nền tảng này cam kết rằng các thông tin quan trọng như mật khẩu, dữ liệu thanh toán và quy trình xác thực người dùng vẫn được bảo vệ an toàn và không nằm trong phạm vi ảnh hưởng của vụ việc.

Tuy nhiên, phía Mixpanel đã ngay lập tức phủ nhận các cáo buộc liên quan đến lỗ hổng bảo mật từ phía họ. Đại diện công ty cho biết lần cuối cùng dữ liệu được truy cập là vào năm 2023 bởi một tài khoản nhân viên hợp lệ thuộc công ty mẹ của PornHub. Mixpanel lập luận rằng nếu dữ liệu rơi vào tay bên thứ ba không được ủy quyền, thì đó không phải là kết quả của một sự cố an ninh mạng tại hệ thống của họ, ám chỉ khả năng lộ lọt thông tin có thể xuất phát từ chính phía đối tác hoặc do tài khoản người dùng bị xâm nhập.

Hồ sơ bất hảo của nhóm tấn công​

Đứng sau vụ tống tiền này là ShinyHunters, một cái tên không còn xa lạ trong giới tội phạm mạng. Đây chính là nhóm hacker chịu trách nhiệm cho hàng loạt vụ tấn công quy mô lớn trong năm 2025, điển hình là vụ xâm nhập vào Salesforce khiến dữ liệu của nhiều dịch vụ, bao gồm cả các doanh nghiệp tại Việt Nam, bị ảnh hưởng nghiêm trọng.

Đối với vụ việc liên quan đến Mixpanel xảy ra vào ngày 8/11, các điều tra ban đầu cho thấy ShinyHunters đã sử dụng phương thức lừa đảo qua tin nhắn SMS (smishing) để đánh lừa nạn nhân, từ đó chiếm quyền truy cập hệ thống và âm thầm đánh cắp dữ liệu. Sự việc lần này tiếp tục gióng lên hồi chuông cảnh báo về an ninh mạng đối với các doanh nghiệp sử dụng dịch vụ lưu trữ và phân tích dữ liệu từ bên thứ ba.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview