Sự việc bắt đầu leo thang vào ngày 15/12, khi trang tin an ninh mạng Bleeping Computer xác nhận nhóm hacker ShinyHunters đã bắt đầu gửi email tống tiền tới các khách hàng của Mixpanel - một đối tác cung cấp công cụ phân tích dữ liệu cho PornHub. Trong email, nhóm tin tặc tuyên bố đang nắm giữ một kho dữ liệu khổng lồ nặng tới 94 GB, chứa hơn 200 triệu bản ghi thông tin cá nhân.
Nhóm này khẳng định số dữ liệu trên được đánh cắp thông qua một cuộc tấn công nhắm vào hệ thống của Mixpanel hồi tháng 11 vừa qua. Điều khiến vụ việc trở nên nghiêm trọng là tính chất cực kỳ nhạy cảm của các thông tin bị rò rỉ, thứ có thể hủy hoại danh dự của bất kỳ ai nếu bị công khai.
Dựa trên các mẫu dữ liệu được hé lộ, đây thực sự là một cơn ác mộng đối với người dùng, đặc biệt là các thành viên trả phí (Premium). Không chỉ dừng lại ở địa chỉ email hay định vị, hacker còn nắm trong tay toàn bộ nhật ký hành vi của người dùng trên nền tảng này. Cụ thể, dữ liệu bao gồm chi tiết lịch sử tìm kiếm, danh sách các video đã xem, tên video, từ khóa liên quan, thời gian truy cập và cả lịch sử tải xuống. ShinyHunters xác nhận các thông tin này đủ chi tiết để vẽ lại thói quen và sở thích riêng tư nhất của từng cá nhân, tạo ra áp lực tâm lý khủng khiếp buộc các bên liên quan phải thương lượng.
Ngay sau khi thông tin nổ ra, một cuộc tranh cãi về trách nhiệm đã nổ ra giữa các bên liên quan. Phía PornHub nhanh chóng gửi thông báo trấn an người dùng, khẳng định hệ thống của họ vẫn an toàn và sự cố bắt nguồn từ Mixpanel. Nền tảng này cho biết đây là dữ liệu cũ vì họ đã ngừng hợp tác với Mixpanel từ năm 2021, đồng thời cam kết các thông tin tài chính như thẻ tín dụng hay mật khẩu không bị ảnh hưởng. Ở chiều ngược lại, Mixpanel phủ nhận cáo buộc về lỗ hổng bảo mật. Đại diện công ty này lập luận rằng lần cuối dữ liệu được truy cập là vào năm 2023 bởi một tài khoản nhân viên hợp lệ thuộc công ty mẹ của PornHub, ám chỉ rằng việc lộ lọt có thể do quản lý tài khoản yếu kém từ phía đối tác chứ không phải do hệ thống của họ bị hack.
Đứng sau vụ tống tiền táo tợn này là ShinyHunters, nhóm tin tặc đang trở thành nỗi ám ảnh của giới công nghệ trong năm 2025. Nhóm này được cho là đã sử dụng phương thức lừa đảo qua tin nhắn (smishing) để xâm nhập hệ thống Mixpanel vào ngày 8/11. Trước đó, ShinyHunters cũng từng gây chấn động khi tấn công Salesforce, gây ảnh hưởng đến dữ liệu của hàng loạt dịch vụ lớn, bao gồm cả các doanh nghiệp tại Việt Nam. Vụ việc lần này tiếp tục là lời cảnh báo đanh thép về rủi ro khi dữ liệu người dùng được chia sẻ cho các bên thứ ba để phân tích, nơi mà chỉ một mắt xích yếu cũng đủ để thổi bay quyền riêng tư của hàng trăm triệu con người.