Einmal erfasst, verschwinden Ihre privatesten Daten nie wirklich – sie warten nur darauf, wiederentdeckt zu werden.
Ken Macon
Ein Datenleck beim Analyseunternehmen Mixpanel hat PornHub mit erheblichen Folgen für den Datenschutz konfrontiert.
Die gestohlenen Daten umfassen E-Mail-Adressen, ungefähre Standorte, Suchbegriffe und Wiedergabeverläufe, die mit PornHub-Premium-Nutzern verknüpft sind.
Die internen Systeme von PornHub wurden nicht kompromittiert, doch der Vorfall legt ein größeres Problem offen: Sobald personenbezogene Daten gesammelt werden, können sie auf unbestimmte Zeit in Systemen von Drittanbietern weiterexistieren, die später kompromittiert werden können.
PornHub bestätigte, dass „ein kürzlich aufgetretener Cybersicherheitsvorfall bei Mixpanel, einem Drittanbieter für Datenanalyse, einige PornHub-Premium-Nutzer betroffen hat“.
Das Unternehmen betonte, dass „es sich nicht um einen Einbruch in die Systeme von PornHub Premium handelt“ und dass „Passwörter, Zahlungsdaten und finanzielle Informationen sicher geblieben sind und nicht offengelegt wurden“.
PornHub erklärte außerdem, dass die Zusammenarbeit mit Mixpanel bereits 2021 beendet wurde, was darauf hindeutet, dass die gestohlenen Datensätze aus dieser Zeit oder früher stammen.
Die als ShinyHunters bekannte Gruppe hat die Verantwortung übernommen und versucht nun, PornHub zu erpressen. Sie gibt an, über rund 94 GB an Daten zu verfügen, die mehr als 200 Millionen Analyse-Datensätze enthalten und zeigen, wonach Nutzer gesucht, was sie angesehen und heruntergeladen haben.
Ihre Nachrichten an betroffene Unternehmen beginnen mit „We are ShinyHunters“ und drohen mit der Veröffentlichung der Informationen, falls kein Lösegeld gezahlt wird.
Berichten zufolge enthalten Stichproben des gestohlenen Materials hochspezifische Details wie die E-Mail-Adresse eines Nutzers, welche Videos er angesehen hat, zugehörige Suchbegriffe und Zeitstempel.
Diese Daten zeigen, wie viele persönliche Erkenntnisse aus scheinbar routinemäßigen Analyse-Logs gewonnen werden können.
Mixpanel bestreitet, dass der Vorfall mit seinem Sicherheitsereignis im November 2025 zusammenhängt.
In einer Stellungnahme erklärte das Unternehmen: „Mixpanel ist sich der Berichte bewusst, dass Pornhub mit Daten erpresst wurde, die angeblich von uns gestohlen wurden. Wir finden keinen Hinweis darauf, dass diese Daten während unseres Sicherheitsvorfalls im November 2025 oder anderweitig von Mixpanel gestohlen wurden.“
Weiter hieß es, die Daten seien „zuletzt im Jahr 2023 von einem legitimen Mitarbeiterkonto beim Mutterunternehmen von Pornhub abgerufen worden“.
Dieses Leck verdeutlicht eine wachsende Datenschutzproblematik, die über PornHub selbst hinausgeht. Regierungen in mehreren Ländern drängen auf verpflichtende Altersverifikationssysteme für Erwachsenenseiten, bei denen Nutzer häufig amtliche Ausweisdokumente vorlegen müssen.
Befürworter argumentieren, dies schütze Minderjährige, doch Vorfälle wie dieser zeigen die tatsächliche Gefahr: Je mehr Informationen Websites sammeln müssen, desto größer ist der Schaden, wenn diese Informationen offengelegt werden.
Wenn bereits eine Seite, die nur E-Mail- und Aktivitätsdaten speichert, bei einem Datenleck so großen Schaden anrichten kann, wären die Folgen weitaus schlimmer, wenn diese Datensätze mit verifizierten Namen oder Ausweisen verknüpft wären.
Zentralisierte Identifikationssysteme schaffen ein dauerhaftes Risiko der Offenlegung. Selbst Jahre zuvor gesammelte Daten können wieder in kriminelle Hände gelangen und lassen den Nutzern praktisch keine Möglichkeit, ihren digitalen Fußabdruck zu löschen.