OnlyFans, 340 milioni di account in vendita ma nessuna violazione dei server

Un archivio presentato come i dati personali di 340 milioni di utenti di OnlyFans è in vendita su un noto forum dedicato alle fughe di dati, per una frazione di un solo Bitcoin. L’annuncio promette indirizzi e-mail, numeri di telefono, nomi reali, le ultime quattro cifre di una carta di pagamento e il dettaglio che pesa di più su una piattaforma del genere: gli account social collegati a ogni profilo.

Su quasi qualsiasi altro servizio sarebbe un comune problema di privacy. Su OnlyFans è qualcosa di più tagliente. L’intero rapporto tra la piattaforma e chi la usa poggia su un muro che separa l’identità legale di una persona da ciò che fa dietro un paywall. Un file che lega un nome vero e un numero di telefono a un account OnlyFans è uno strumento pensato per abbattere quel muro e, autentico o no, si rivolge a chi cerca esattamente questo.

Il venditore descrive una scheda per ogni account: identificativo, nome utente, nome completo, data di iscrizione, e-mail, telefono, numero di follower e di «mi piace», quantità di contenuti pubblicati, un’etichetta che indica se si tratta di un fan o di un creator e i collegamenti a profili su altre reti. Chiede 0,313 Bitcoin, circa settantaseimila dollari per l’intero pacchetto. Venduto così, sembra meno un foglio di calcolo e più un kit per individuare bersagli. Il campo dei profili collegati è quello che trasforma un database in un’arma: per un creator, unire il proprio account OnlyFans a un Instagram verificato fa cadere la separazione su cui regge il suo lavoro.

Letture consigliateClaude ha trovato 10.000 falle critiche in un mese, le patch non arrivano

OnlyFans sostiene che non è accaduto nulla. «Queste notizie sono false», ha risposto un portavoce alla testata di sicurezza che ha diffuso l’annuncio. La cifra stessa alimenta i dubbi: 340 milioni è vicino all’intera base di utenti registrati, quel numero tondo e totale che raramente sopravvive a una vera intrusione. E l’argomento più solido contro un attacco arriva dal venditore stesso: contattato, ha ammesso che i dati non erano mai usciti da OnlyFans. Li ha messi insieme incrociando vecchie fughe di altre piattaforme, tra cui Twitter, Instagram e Spotify, con informazioni di profilo già pubbliche. È una raccolta, non un’intrusione.

Questa distinzione è tutta la storia, e il mercato clandestino vive del confonderla. Una vera fuga sottrae dati che il pubblico non aveva mai avuto; una raccolta riordina dati già trapelati altrove e li riveste di un marchio nuovo e spaventoso. «OnlyFans» si vende su un forum come non si venderebbe mai «un elenco costruito su dati Twitter di cinque anni fa». I presunti «attacchi» da miliardi di account a WhatsApp o Gmail che riaffiorano di tanto in tanto funzionano allo stesso modo e quasi sempre si rivelano liste di credenziali riciclate.

Niente di tutto questo rende innocuo l’archivio. L’arma qui è la correlazione, non la novità. Un nome già pubblico da una parte e un’e-mail trapelata dall’altra valgono poco se presi da soli; uniti a un account OnlyFans diventano una mappa che porta dall’identità quotidiana di una persona al suo profilo di contenuti per adulti. Quella mappa è la materia prima dei messaggi di sextortion che citano dettagli reali per sembrare credibili, del phishing rivolto agli account di pagamento dei creator e delle molestie e dei furti d’identità che molti già subiscono senza che un aggressore abbia il lavoro di selezione già pronto.

Per chiunque abbia mai collegato un account Instagram o X a un profilo OnlyFans, fan o creator e in qualsiasi mercato, conviene presumere che quel legame sia già rintracciabile e ora forse impacchettato per la vendita. Il consiglio degli esperti è poco appariscente: trattare qualsiasi messaggio che sembri «conoscere» la vostra attività su OnlyFans come una tattica di pressione e non come una prova, non pagare mai una richiesta di ricatto e attivare l’autenticazione a due fattori, così che una password trapelata da sola non basti ad aprire l’account. L’annuncio è ancora online e i ricercatori analizzano campioni per misurare quanto sia reale, riciclato o semplicemente inventato, l’unica domanda da cui dipende davvero il prezzo. Finché un nome famoso su un forum varrà più dei dati che lo sostengono, la prossima «mega fuga» è già assemblata con i resti delle dieci precedenti.

Altri articoli simili

Un bug di login ha lasciato 70 milioni di siti cPanel aperti a chiunque

Un’estensione VS Code avvelenata ha rubato 3.800 repository interni di GitHub

Megalodon ha trasformato GitHub Actions in una backdoor per 5.561 repo

Un’IA ha scritto un exploit zero-day funzionante — Google l’ha intercettato per primo

Una scansione di 380.000 app costruite con l’IA ne trova migliaia senza alcuna autenticazione