OnlyFans-lekkasjen med 340 millioner kontoer er ikke et hackerangrep

Et datasett som markedsføres som personopplysninger om 340 millioner OnlyFans-brukere, legges ut for salg på et kjent lekkasjeforum, for en brøkdel av en enkelt Bitcoin. Annonsen lover e-postadresser, telefonnumre, ekte navn, de siste fire sifrene på et betalingskort og detaljen som veier tyngst på en plattform som denne: kontoene på sosiale medier som er knyttet til hver profil.

På nesten enhver annen tjeneste ville det vært et vanlig personvernproblem. På OnlyFans er det skarpere. Hele forholdet mellom plattformen og brukerne hviler på en mur mellom en persons juridiske identitet og det de gjør bak en betalingsmur. En fil som knytter et ekte navn og et telefonnummer til en OnlyFans-konto, er et verktøy laget nettopp for å rive ned den muren, og ekte eller ei henvender den seg til kjøpere som vil ha akkurat det.

Selgeren beskriver én post per konto: id, brukernavn, fullt navn, registreringsdato, e-post, telefon, antall følgere og likerklikk, mengden publisert innhold, en markering av om kontoen tilhører en fan eller en skaper, samt lenker til profiler på andre nettverk. Prisen er 0,313 Bitcoin, rundt syttiseks tusen dollar for hele settet. Solgt slik ligner det mindre på et regneark og mer på en målpakke. Feltet med de lenkede profilene er det som gjør en database til et våpen: for en skaper river koblingen mellom OnlyFans-kontoen og en verifisert Instagram ned skillet som hele virksomheten hviler på.

OnlyFans sier at ingenting av dette har skjedd. «Disse opplysningene er falske», svarte en talsperson til sikkerhetsmediet som først omtalte annonsen. Selve tallet vekker tvil: 340 millioner ligger nær hele den registrerte brukerbasen, nettopp det runde totaltallet som sjelden overlever et reelt innbrudd. Og det sterkeste argumentet mot et hackerangrep kom fra selgeren selv: ved kontakt innrømmet han at dataene aldri var hentet fra OnlyFans. Han satte dem sammen ved å krysse eldre lekkasjer fra andre plattformer, blant dem Twitter, Instagram og Spotify, med allerede offentlige profilopplysninger. Det er en sammenstilling, ikke et innbrudd.

Det skillet er hele historien, og det svarte markedet lever av å viske det ut. En ekte lekkasje henter ut data publikum aldri har hatt; en sammenstilling sorterer om data som allerede er lekket et annet sted, og gir dem et nytt, skremmende merke. «OnlyFans» selger på et forum slik «en liste bygd på fem år gamle Twitter-data» aldri ville gjort. De påståtte milliard-«hackene» av WhatsApp eller Gmail som dukker opp med jevne mellomrom, fungerer på samme måte og viser seg nesten alltid å være gjenbrukte innloggingslister.

Ingenting av dette gjør filen ufarlig. Våpenet her er koblingen, ikke nyheten. Et navn som allerede er offentlig ett sted, og en e-post som er lekket et annet, veier hver for seg lite; knyttet til en OnlyFans-konto blir de et kart fra en persons hverdagsidentitet til voksenkontoen deres. Det kartet er råstoffet til sextortion-meldinger som siterer ekte detaljer for å virke troverdige, til phishing rettet mot skaperes utbetalingskontoer og til forfølgelsen og identitetstyveriene mange allerede opplever, nå uten at angriperen selv må gjøre sorteringen.

Enhver som noen gang har koblet en Instagram- eller X-konto til en OnlyFans-profil, fan eller skaper og i et hvilket som helst marked, bør gå ut fra at koblingen allerede kan finnes og nå kanskje er pakket for salg. Ekspertenes råd er udramatisk: behandle enhver melding som ser ut til å «kjenne» OnlyFans-aktiviteten din som et pressmiddel og ikke som bevis, aldri betal et utpressingskrav, og slå på tofaktorautentisering slik at et lekket passord alene ikke kan åpne kontoen. Annonsen ligger fortsatt ute, og forskere går gjennom stikkprøver for å måle hvor mye som er ekte, gjenbrukt eller rent oppdiktet, det eneste spørsmålet prisen faktisk henger på. Så lenge et kjent navn på et forum er verdt mer enn dataene bak, bygges den neste «megalekkasjen» allerede av restene fra de ti foregående.