Novantaquattro gigabyte di segreti inconfessabili. Oltre duecento milioni di record che nessuno vorrebbe vedere pubblicati. ShinyHunters, la banda di cybercriminali più attiva dell’anno, ha sferrato l’ennesimo colpo: nel mirino è finita PornHub, piattaforma leader nel settore dei contenuti per adulti, i cui utenti Premium rischiano ora l’esposizione pubblica delle proprie abitudini di navigazione più intime.
La notizia, rivelata dal sito specializzato BleepingComputer, getta luce su una vicenda tanto delicata quanto esplosiva. Gli hacker hanno messo le mani su informazioni che vanno ben oltre i semplici dati anagrafici: cronologie di ricerca complete, video visualizzati e scaricati, preferenze personali, timestamp precisi. Tutto tracciato, tutto archiviato, tutto ora in mano a chi ha già dimostrato di non avere scrupoli.
Tutto parte l’8 novembre scorso. Un attacco di phishing via SMS – tecnica nota come smishing – ha squarciato le difese di Mixpanel, società californiana che fornisce servizi di analisi dati a centinaia di aziende nel mondo. Una porta aperta che ha permesso agli intrusi di penetrare nei server e fare razzia di informazioni. Tra i clienti colpiti anche PornHub, che pure aveva interrotto la collaborazione con Mixpanel già nel 2021.
Venerdì scorso la piattaforma è uscita allo scoperto con un avviso di sicurezza che prova a minimizzare. “Un recente incidente di sicurezza informatica che ha coinvolto Mixpanel ha avuto ripercussioni su alcuni utenti di Pornhub Premium”, recita il comunicato ufficiale. L’azienda tiene a precisare: nessuna violazione diretta dei propri sistemi, password e carte di credito al sicuro, solo “alcuni” utenti Premium coinvolti. Una rassicurazione che stride con i numeri: oltre duecento milioni di record compromessi difficilmente si possono definire “alcuni”.
La scorsa settimana sono partite le prime email. Oggetto: estorsione. Mittente: ShinyHunters. Il messaggio è secco, diretto, minaccioso. “Siamo ShinyHunters” – si legge nell’incipit – e i dati rubati verranno pubblicati se non arriverà il pagamento di un riscatto. La banda ha confermato tutto a BleepingComputer, rivendicando il bottino: 201.211.943 record di attività storiche prelevati dai server di Mixpanel durante la violazione di novembre.
Un campione dei dati analizzato dalla testata americana rivela l’imbarazzante verità: ogni record contiene l’indirizzo email dell’abbonato Premium, la posizione geografica da cui si è connesso, l’URL esatto del video, il titolo completo, le parole chiave associate alla ricerca, l’orario preciso di visualizzazione. Un dossier perfetto per un ricatto mirato. Gli eventi tracciati comprendono non solo le visualizzazioni, ma anche i download, gli accessi ai canali preferiti e soprattutto le ricerche effettuate sulla piattaforma.
Di fronte alle accuse, Mixpanel ha scelto la linea della smentita netta. “Non abbiamo trovato alcuna indicazione che questi dati siano stati rubati da Mixpanel durante il nostro incidente di sicurezza del novembre 2025”, ha dichiarato l’azienda a BleepingComputer dopo la pubblicazione della notizia. La versione del fornitore di analisi è netta: l’ultimo accesso a quei dati risalirebbe al 2023 e sarebbe avvenuto “tramite l’account legittimo di un dipendente della società madre di Pornhub”. Traduzione: se i dati sono finiti nelle mani sbagliate, la responsabilità non è nostra.
Una ricostruzione che però lascia aperti molti interrogativi. Come si spiegano le richieste di riscatto partite subito dopo la violazione di novembre? Perché ShinyHunters rivendica esplicitamente il furto durante l’attacco a Mixpanel? E soprattutto: se i dati sono stati sottratti nel 2023, perché le estorsioni iniziano solo ora?
La violazione di PornHub rappresenta solo l’ultimo capitolo di un anno nero per la cybersecurity mondiale. ShinyHunters ha collezionato nel 2025 una serie impressionante di colpi a segno. La banda ha violato sistematicamente aziende di integrazione Salesforce per accedere alle istanze della piattaforma e prosciugare database interi. Ha sfruttato una vulnerabilità zero-day critica in Oracle E-Business Suite, catalogata come CVE-2025-61884. Ha orchestrato gli attacchi tramite Salesforce e Drift che all’inizio dell’anno hanno messo in ginocchio decine di organizzazioni.
E ancora: la recente violazione di GainSight ha permesso agli hacker di rubare ulteriori dati Salesforce da numerose aziende. Ora si aggiunge Mixpanel, con le sue centinaia di clienti esposti. Il gruppo criminale può quindi vantare la paternità di alcune delle brecce più devastanti dell’anno, con un bilancio di centinaia di aziende compromesse e milioni di utenti a rischio.
Come se non bastasse, ShinyHunters sta preparando la prossima mossa. Fonti investigative confermano lo sviluppo di ShinySpid3r, un ransomware-as-a-service di nuova generazione. La piattaforma servirà da base operativa non solo per il gruppo stesso, ma anche per i membri di Scattered Spider, collettivo di cybercriminali con cui ShinyHunters mantiene stretti legami. L’obiettivo dichiarato: industrializzare gli attacchi ransomware, offrendo strumenti chiavi in mano a chiunque voglia entrare nel business delle estorsioni digitali.
Tra le altre vittime confermate della violazione di Mixpanel figurano OpenAI, l’azienda dietro ChatGPT, e CoinTracker, piattaforma per il monitoraggio di criptovalute. Ma è PornHub il caso più esplosivo, per la natura stessa dei dati coinvolti. Informazioni che nessuno vorrebbe vedere pubblicate, dettagli che potrebbero rovinare reputazioni, distruggere carriere, compromettere relazioni personali.
Per ora PornHub si è trincerata dietro il silenzio. Contattata da BleepingComputer, l’azienda non ha fornito ulteriori commenti oltre all’avviso di sicurezza iniziale. Una strategia difensiva comprensibile ma rischiosa, mentre gli hacker hanno già dimostrato di non bluffare. E mentre i giorni passano, milioni di abbonati Premium attendono di sapere se i loro segreti rimarranno tali o finiranno in pasto al dark web.