Angeblicher OnlyFans-Leak: 340 Millionen Datensätze, aber kein Hack

Ein Datensatz, der als die persönlichen Daten von 340 Millionen OnlyFans-Nutzern angeboten wird, steht in einem bekannten Leak-Forum zum Verkauf, für den Bruchteil eines einzigen Bitcoin. Die Anzeige verspricht E-Mail-Adressen, Telefonnummern, echte Namen, die letzten vier Ziffern einer Zahlungskarte und das Detail, das auf einer solchen Plattform am schwersten wiegt: die mit jedem Profil verknüpften Social-Media-Konten.

Bei fast jedem anderen Dienst wäre das ein gewöhnliches Datenschutzproblem. Bei OnlyFans ist es schärfer. Das ganze Verhältnis zwischen der Plattform und ihren Nutzern beruht auf einer Mauer zwischen der rechtlichen Identität eines Menschen und dem, was er hinter einer Bezahlschranke tut. Eine Datei, die einen echten Namen und eine Telefonnummer mit einem OnlyFans-Konto verbindet, ist ein Werkzeug, das genau diese Mauer einreißen soll, und ob echt oder nicht, sie richtet sich an Käufer, die genau das wollen.

Der Verkäufer beschreibt einen Eintrag pro Konto: Kennung, Nutzername, vollständiger Name, Anmeldedatum, E-Mail, Telefonnummer, Zahl der Follower und „Gefällt mir“, Menge der hochgeladenen Inhalte, eine Markierung als Fan oder Creator sowie Verweise auf Profile in anderen Netzwerken. Er verlangt 0,313 Bitcoin, rund sechsundsiebzigtausend Dollar für den gesamten Satz. So verkauft, wirkt das weniger wie eine Tabelle als wie ein Zielpaket. Das Feld mit den verknüpften Profilen macht aus einer Datenbank eine Waffe: Wer als Creator sein OnlyFans-Konto an ein verifiziertes Instagram knüpft, dem fällt die Trennung weg, von der das eigene Geschäft lebt.

Empfohlene LektüreClaude fand 10.000 kritische Lücken in einem Monat — Patchen ist der Engpass

OnlyFans erklärt, nichts davon sei passiert. „Diese Berichte sind falsch“, sagte ein Sprecher dem Sicherheitsmedium, das die Anzeige zuerst veröffentlichte. Schon die Zahl nährt Zweifel: 340 Millionen liegt nahe an der gesamten registrierten Nutzerbasis, jene runde Gesamtzahl, die einen echten Einbruch selten übersteht. Das stärkste Argument gegen einen Hack lieferte der Verkäufer selbst: auf Nachfrage räumte er ein, dass die Daten nie aus OnlyFans stammten. Er stellte sie zusammen, indem er ältere Leaks anderer Plattformen, darunter Twitter, Instagram und Spotify, mit bereits öffentlichen Profildaten abglich. Das ist eine Kompilation, kein Einbruch.

Diese Unterscheidung ist die ganze Geschichte, und der Untergrundmarkt lebt davon, sie zu verwischen. Ein echter Leak zieht Daten ab, die die Öffentlichkeit nie hatte; eine Kompilation sortiert Daten neu, die anderswo längst geleakt sind, und versieht sie mit einer frischen, beängstigenden Marke. „OnlyFans“ verkauft sich in einem Forum so, wie „eine Liste aus fünf Jahre alten Twitter-Daten“ es nie könnte. Die angeblichen Milliarden-„Hacks“ von WhatsApp oder Gmail, die regelmäßig auftauchen, funktionieren genauso und entpuppen sich fast immer als recycelte Zugangsdaten.

Harmlos wird die Datei dadurch nicht. Die Waffe ist hier die Verknüpfung, nicht die Neuheit. Ein Name, der ohnehin öffentlich ist, und eine E-Mail, die woanders geleakt wurde, wiegen einzeln wenig; an ein OnlyFans-Konto geknüpft, werden sie zur Karte, die von der Alltagsidentität eines Menschen zu seinem Erwachsenen-Konto führt. Diese Karte ist der Rohstoff für Sextortion-Nachrichten, die echte Details zitieren, um glaubwürdig zu wirken, für Phishing gegen die Auszahlungskonten von Creators und für das Stalking und die Identitätsfälschung, die viele bereits erleben, ohne dass ein Angreifer die Sortierarbeit schon erledigt hätte.

Wer je ein Instagram- oder X-Konto mit einem OnlyFans-Profil verbunden hat, ob Fan oder Creator und in welchem Markt auch immer, sollte davon ausgehen, dass diese Verbindung bereits auffindbar und nun womöglich zum Verkauf verpackt ist. Der Rat der Fachleute ist unspektakulär: jede Nachricht, die Ihre OnlyFans-Aktivität zu „kennen“ scheint, als Druckmittel und nicht als Beweis behandeln, niemals auf eine Erpressung zahlen und die Zwei-Faktor-Authentifizierung einschalten, damit ein geleaktes Passwort allein das Konto nicht öffnet. Die Anzeige ist weiter online, und Forscher prüfen Stichproben, um zu messen, wie viel echt, recycelt oder schlicht erfunden ist, die einzige Frage, an der der Preis wirklich hängt. Solange ein berühmter Name in einem Forum mehr wert ist als die Daten dahinter, wird der nächste „Mega-Leak“ bereits aus den Trümmern der letzten zehn zusammengesetzt.

Mehr davon

Eine vergiftete VS-Code-Erweiterung stahl 3.800 interne GitHub-Repositories

Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Megalodon machte GitHub Actions zur Hintertür für 5.561 Repositorys

Eine KI hat einen funktionierenden Zero-Day-Exploit geschrieben — Google fing ihn ab