유명 해커 그룹 ShinyHunters가 11월에 Mixpanel이라는 서비스를 대상으로 한 공격을 주도했다고 발표했습니다. Mixpanel은 사용자 상호작용 분석 도구를 제공하는 서비스로, OpenAI, CoinTracker, PornHub 등 많은 유명 기업들이 사용하고 있습니다. 12월 15일, Bleeping Computer는 해커 그룹이 Mixpanel 고객들에게 협박을 시작했다고 보도했습니다. PornHub에 보낸 협박 이메일에서 이들은 94GB의 데이터를 훔쳤으며, 2억 건이 넘는 사용자 개인 정보 기록이 포함되어 있다고 주장하고, 금전을 받지 못하면 데이터를 유출하겠다고 위협했습니다.
해킹당한 PornHub 플랫폼을 보여주는 이미지. 사진: Bleeping Computer
유출된 일부 데이터 샘플에 따르면, 이 데이터에는 PornHub 프리미엄 회원의 이메일 주소, 상호작용 기록, 위치, 접근한 비디오 주소, 비디오 제목, 관련 키워드 및 시간과 같은 많은 “민감한 정보”가 포함되어 있다고 합니다. 또한, 사용자 비디오 검색 기록도 유출된 데이터 세트에 포함되어 있는 것으로 알려졌습니다. ShinyHunters는 데이터가 201,211,943건의 기록을 포함하고 있으며, 프리미엄 회원의 검색 기록, 추적 및 다운로드 내역이 포함되어 있다고 확인했습니다.
프리미엄 사용자에게 보낸 공지에서 PornHub는 자신들이 공격을 받지 않았으며, Mixpanel의 문제라고 주장했습니다. PornHub는 이 데이터가 오래된 것이라고 강조하며, 2021년 이후 두 회사가 더 이상 협력하지 않았다고 밝혔습니다. 또한, 사용자 비밀번호, 결제 정보, 인증 정보는 영향을 받지 않았다고 덧붙였습니다.
Mixpanel은 처음에 관련성을 부인했습니다. “데이터에 마지막으로 접근한 것은 2023년이며, PornHub의 모회사 직원 계정에 의해 이루어졌습니다. 이 데이터가 권한이 없는 제3자에게 넘어간 경우, 이는 Mixpanel의 보안 사고 때문이라고 믿지 않습니다.”라고 회사 대표가 전했습니다.
ShinyHunters는 2025년에 일어난 여러 대규모 공격, 특히 Salesforce 공격의 배후에 있는 그룹으로, 이로 인해 많은 서비스, 특히 베트남의 많은 서비스가 영향을 받았습니다. 11월 8일의 Mixpanel 사건에서 ShinyHunters는 SMS를 통한 사기(스미싱) 수법을 사용하여 시스템에 침투하고 데이터를 도용한 것으로 알려졌습니다.