OnlyFans-läckan med 340 miljoner konton är inte ett dataintrång

Ett dataset som marknadsförs som personuppgifter för 340 miljoner OnlyFans-användare bjuds ut till försäljning på ett känt läckforum, för en bråkdel av en enda Bitcoin. Annonsen utlovar e-postadresser, telefonnummer, riktiga namn, de sista fyra siffrorna på ett betalkort och den detalj som väger tyngst på en plattform som denna: de sociala mediekonton som är kopplade till varje profil.

På nästan vilken annan tjänst som helst vore det ett vanligt integritetsproblem. På OnlyFans är det skarpare. Hela relationen mellan plattformen och dess användare vilar på en mur mellan en persons juridiska identitet och det de gör bakom en betalvägg. En fil som kopplar ett riktigt namn och ett telefonnummer till ett OnlyFans-konto är ett verktyg byggt just för att riva den muren, och äkta eller inte riktar den sig till köpare som vill ha precis det.

Säljaren beskriver en post per konto: id, användarnamn, fullständigt namn, registreringsdatum, e-post, telefon, antal följare och gilla-markeringar, mängden publicerat innehåll, en markering om kontot tillhör en fan eller en kreatör samt länkar till profiler på andra nätverk. Priset är 0,313 Bitcoin, runt sjuttiosextusen dollar för hela uppsättningen. Sålt på det sättet liknar det mindre ett kalkylblad och mer ett målpaket. Fältet med länkade profiler är det som gör en databas till ett vapen: för en kreatör river kopplingen mellan OnlyFans-kontot och ett verifierat Instagram bort den åtskillnad som hela verksamheten vilar på.

Rekommenderad läsningTorchlight: Infinite lanserar säsong 12 tre månader efter sitt historiska spelarrekord

OnlyFans säger att ingenting av detta har hänt. «Dessa uppgifter är falska», svarade en talesperson till säkerhetsmediet som först publicerade annonsen. Själva siffran väcker tvivel: 340 miljoner ligger nära hela den registrerade användarbasen, just det runda totaltal som sällan överlever ett verkligt intrång. Och det starkaste argumentet mot en hackning kom från säljaren själv: vid kontakt medgav han att uppgifterna aldrig hämtats från OnlyFans. Han satte ihop dem genom att korsa äldre läckor från andra plattformar, däribland Twitter, Instagram och Spotify, med redan offentliga profiluppgifter. Det är en sammanställning, inte ett intrång.

Den skillnaden är hela historien, och den undre marknaden lever på att sudda ut den. En verklig läcka för ut data som allmänheten aldrig haft; en sammanställning sorterar om data som redan läckt någon annanstans och ger den ett nytt, skrämmande varumärke. «OnlyFans» säljer på ett forum så som «en lista byggd på fem år gamla Twitter-uppgifter» aldrig skulle göra. De påstådda miljard-«hackningarna» av WhatsApp eller Gmail som dyker upp med jämna mellanrum fungerar likadant och visar sig nästan alltid vara återvunna inloggningslistor.

Inget av detta gör filen ofarlig. Vapnet här är kopplingen, inte nyheten. Ett namn som redan är offentligt på en sajt och en e-post som läckt på en annan väger lite var för sig; kopplade till ett OnlyFans-konto blir de en karta från en persons vardagsidentitet till deras vuxenkonto. Den kartan är råvaran för sextortion-meddelanden som citerar verkliga detaljer för att verka trovärdiga, för nätfiske mot kreatörers utbetalningskonton och för den förföljelse och de identitetskapningar som många redan utsätts för, nu utan att angriparen själv behöver göra sorteringen.

Den som någon gång har kopplat ett Instagram- eller X-konto till en OnlyFans-profil, fan eller kreatör och på vilken marknad som helst, bör utgå från att kopplingen redan går att hitta och nu kanske är paketerad till salu. Experternas råd är odramatiskt: behandla varje meddelande som verkar «känna till» din OnlyFans-aktivitet som ett påtryckningsmedel och inte som bevis, betala aldrig ett utpressningskrav och slå på tvåfaktorsautentisering så att ett läckt lösenord ensamt inte räcker för att öppna kontot. Annonsen ligger kvar och forskare går igenom stickprov för att mäta hur mycket som är äkta, återvunnet eller rent uppdiktat, den enda fråga som priset faktiskt hänger på. Så länge ett känt namn på ett forum är värt mer än uppgifterna bakom det byggs nästa «megaläcka» redan av spillrorna från de tio föregående.

Mer som detta

DeepSeek gjorde AI billigt medan USA prissatte motsatsen

Oppo Find X9 Ultra får 10x optisk zoom och en löstagbar 300 mm-lins

DJI Osmo Pocket 4 lanseras globalt — men amerikanska köpare är utestängda

StoneHold avtäckt: En hybrid mellan action-MOBA och samlarkortspel

Shors algoritm: resursbehovet för att knäcka RSA-2048 minskade med en tiopotens på under ett år

Pixel Maniacs och PM Studios utannonserar det färgbaserade pusselspelet ChromaGun 2: Dye Hard