Une récente violation de données chez Mixpanel, fournisseur d’analytique tiers de PornHub, a exposé des informations sensibles de certains utilisateurs Premium. Bien que PornHub assure que ses systèmes ne sont pas responsables, le groupe d’extorsion ShinyHunters revendique le vol de 94 Go de données.
Un incident lié à Mixpanel
Le 12 décembre 2025, PornHub a confirmé qu’un incident de cybersécurité lié à son fournisseur d’analyse de données Mixpanel avait affecté certains de ses abonnés Premium. L’entreprise a rapidement précisé que cet incident ne provenait pas de ses propres systèmes et que des informations sensibles comme les mots de passe, les détails de paiement ou les informations financières étaient restées sécurisées. Toutefois, des données historiques provenant de 2021 ou antérieures, principalement liées à l’historique de recherche et de visionnage, ont été compromises.
“Bien que nous n’ayons pas travaillé avec Mixpanel depuis 2021, nous estimons qu’il est de notre responsabilité d’informer notre communauté de cet incident,” lit-on dans la communication officielle de PornHub.
ShinyHunters derrière l’extorsion
Les informations récemment divulguées par nos confrères de BleepingComputer confirment que le groupe d’extorsion ShinyHunters est à l’origine de la fuite et a extorqué PornHub. Ce groupe criminel aurait volé 94 Go de données, comprenant plus de 200 millions de fichiers relatifs aux activités des utilisateurs Premium de PornHub. Ces données incluent des informations extrêmement sensibles, telles que les adresses e-mail des abonnés, les types d’activités (visionnage, recherche, téléchargement), les vidéos visionnées, ainsi que les lieux des utilisateurs.
Le groupe ShinyHunters a menacé de rendre publiques ces informations si un paiement n’était pas effectué. Un échantillon de ces données, partagé par BleepingComputer, montre que ces informations sont particulièrement sensibles et privées. Le groupe a également confirmé qu’il avait accès à l’historique de recherche des utilisateurs, une donnée que beaucoup souhaiteraient garder confidentielle.
Réaction de PornHub et Mixpanel
En réponse à l’attaque, PornHub a lancé une enquête interne approfondie, en collaboration avec ses experts en cybersécurité. L’entreprise a aussi informé les autorités et Mixpanel pour déterminer l’étendue de la fuite. “La sécurité et la confidentialité de nos utilisateurs restent notre priorité absolue,” assure l’entreprise dans son communiqué.
De son côté, Mixpanel a nié que les données compromises provenaient de la violation de novembre 2025, survenue après une attaque par hameçonnage (smishing). Selon Mixpanel, les données volées ont été consultées pour la dernière fois en 2023 par un employé légitime de PornHub, ce qui soulève des questions sur l’origine réelle de la fuite.
Le contexte des attaques de ShinyHunters
L’incident avec Mixpanel n’est pas le premier acte malveillant du groupe ShinyHunters, qui est lié à plusieurs violations de données importantes cette année. ShinyHunters a déjà été responsable de piratages de nombreuses entreprises, dont plusieurs intégrateurs de Salesforce, exploitant notamment des vulnérabilités dans des systèmes critiques comme l’Oracle E-Business Suite.
