Pornhub: esposta la cronologia dei membri Premium. Scopriamo cos’è successo

Questa non è la classica violazione fatta di password rubate e carte di credito clonate.
È qualcosa di molto più delicato. Il data breach che ha coinvolto Pornhub nel dicembre 2025 rappresenta uno degli incidenti di privacy più sensibili dell’anno, perché a finire esposti non sono stati dati “tecnici”, ma le abitudini e le preferenze degli utenti.

L’origine dell’incidente non è interna alla piattaforma, ma riconduce a Mixpanel, fornitore di servizi di analytics utilizzato in passato da Pornhub. Un dettaglio che cambia poco per chi oggi si ritrova potenzialmente esposto a estorsioni, ricatti e danni reputazionali.

Cosa è successo davvero

La violazione è conseguenza di un attacco subito da Mixpanel l’8 novembre 2025, quando attori malevoli hanno ottenuto accesso ai sistemi del provider tramite una campagna di SMS phishing (smishing).

A seguito dell’incidente, Mixpanel ha notificato i clienti coinvolti segnalando l’accesso non autorizzato a dataset di analytics storici. Pornhub ha successivamente confermato che dati relativi a membri Premium erano inclusi nel perimetro dell’esposizione.

Pornhub ha precisato che:

• i propri sistemi non sono stati compromessi
• password e dati di pagamento non sono stati esposti

Tuttavia, la natura dei dati coinvolti rende l’incidente tutt’altro che marginale.

I dati esposti: non finanziari, ma devastanti

Secondo le informazioni disponibili e le rivendicazioni del gruppo criminale ShinyHunters, il dataset sottratto ammonterebbe a circa 94 GB, con oltre 200 milioni di record.

I dati includerebbero:

• indirizzi email associati ad account Premium
• ricerche effettuate sulla piattaforma
• cronologia dei video visualizzati
• attività di download
• titoli e URL dei video
• keyword associate ai contenuti
• timestamp dettagliati
• metadati di localizzazione generale

Si tratta di eventi di analytics generati prima del 2021, periodo in cui Pornhub utilizzava Mixpanel. Ma l’età dei dati non ne riduce l’impatto: le abitudini non scadono.

Perché questa violazione è diversa dalle altre

A differenza di credenziali o carte di credito, i dati comportamentali non possono essere “cambiati”. La cronologia di ricerca e visione racconta preferenze, interessi, pattern personali. Una volta esposta, rimane per sempre. Ed è proprio questo che rende l’incidente estremamente appetibile per attività di estorsione.

In alcuni contesti geografici o culturali, la semplice associazione di un indirizzo email a contenuti per adulti può avere ripercussioni legali, professionali o personali. È qui che il danno supera la dimensione tecnica e diventa concreto.

ShinyHunters e l’estorsione come modello di business

Il gruppo ShinyHunters, già protagonista di numerose operazioni di data theft nel 2025, ha rivendicato il possesso dei dati e avviato tentativi di estorsione nei confronti delle aziende coinvolte.

Lo schema è ormai noto:

1. violazione di un fornitore terzo
2. furto di dataset ad alto impatto mediatico
3. pressione economica sulla vittima
4. minaccia di pubblicazione

Ancora una volta, il punto di ingresso non è stato il bersaglio principale, ma la catena di fornitura digitale.

Retention dei dati e responsabilità dei fornitori

Questo incidente solleva una domanda inevitabile: perché informazioni così sensibili erano ancora conservate a distanza di anni dalla fine del rapporto con il fornitore?

La gestione della retention dei dati e la loro effettiva minimizzazione continuano a rappresentare uno dei punti più fragili nella catena di sicurezza di molte organizzazioni, soprattutto quando entrano in gioco servizi di terze parti.

Non è sufficiente affermare di non aver subito una violazione diretta.
Quando i dati degli utenti vengono esposti attraverso un fornitore, la responsabilità non scompare dal punto di vista dell’impatto.

Per chi subisce le conseguenze, la distinzione tra infrastruttura interna e piattaforma esterna è puramente teorica. I dati sono stati compromessi, ed è questo l’unico elemento che conta.

Considerazioni finali

Il caso Pornhub-Mixpanel dimostra che la sicurezza non si ferma ai confini aziendali e che i servizi di analytics possono diventare un vettore di rischio enorme se non governati con attenzione.

Per gli utenti, è l’ennesima conferma che la privacy online è fragile, soprattutto quando si parla di piattaforme che promettono discrezione.

Per le aziende, è un avvertimento evidente, i fornitori terzi non sono un dettaglio contrattuale, ma una superficie d’attacco estesa.

E nel 2025, ignorarlo significa esporsi consapevolmente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Galuppi

Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Aree di competenza: Firewall, Networking, Network Design, Architetture IT, Servizi IT

Visita il sito web dell'autore