OnlyFans遭遇大规模数据泄露，3.4亿用户数据在暗网上出售

近日，有黑客在暗网论坛出售知名成人网站OnlyFans的数亿条记录，这些记录据称泄露了OnlyFans创作者和粉丝的用户名、姓名、联系方式等信息，还包括他们的活动指标和社交媒体资料。如果属实，OnlyFans的大规模数据泄露事件可能会暴露会员的真实身份，但是，OnlyFans否认了黑客的说法。

OnlyFans数据被发布在一个热门的数据泄露论坛上

本周早些时候，使用“Euphoric_Reply_5727”化名的网络犯罪分子在网络犯罪论坛上发布了关于其庞大用户数据库的广告，以 0.313个BTC（约合15万人民币）的价格出售多达3.4亿OnlyFans用户的信息。他们声称该用户数据库是从OnlyFans内部系统获取的，包含用户的个人信息、账户活动和支付相关信息。

根据攻击者的说法，出售的数据库还包含OnlyFans用户的用户名、姓名、联系方式（例如电话号码和电子邮件地址）、关联的社交媒体个人资料以及OnlyFans使用统计数据，例如粉丝数量、点赞数量和上传内容的详细信息。

攻击者在该帖子中附带了10条样本记录，所列数据包括用户ID、用户名、电子邮件地址和注册信息。样本中其他为空的字段包括电话号码、账户标记和关联账户。样本数据似乎来自2025年8月左右，这可能表明攻击者收集了更早的数据。

攻击者声称：“该列表提供了对据称是OnlyFans内部数据库转储的独家访问权限，其中包含约3.5亿条用户记录。该数据集涵盖粉丝账户和创建账户，暴露了广泛的个人身份信息和详细的账户活动指标。”

目前尚不清楚该黑客是否已找到该数据库的买家。

OnlyFans回应称有关数据泄露的报道不实

OnlyFans是一个总部位于伦敦的热门订阅制社交媒体平台，许多创作者在上面出售成人内容的访问权限，这意味着许多用户可能不希望自己的身份在网上被曝光。

该平台在全球拥有超过450万名创作者和和超过3.7亿订阅用户，允许内容创作者与付费订阅者分享独家图片、视频和直播。创作者可以设定每月订阅价格，并保留80%的收入，其余部分归平台所有。

近年来，随着OnlyFans在美国部分地区不断扩大年龄验证要求，围绕成人平台的隐私问题也日益凸显，促使一些用户在分享个人信息时变得越来越谨慎。

对于此次超级数据泄露事件，OnlyFans公司回应称，有关数据泄露的报道不实。

OnlyFans未遭入侵，数据来自公开数据集

威胁行为者也承认，他们没有直接入侵OnlyFans或入侵其任何在线数据库，而是收集了来自较早的入侵事件和泄露数据库中的活跃OnlyFans用户信息。

该数据库的汇编使得攻击者能够将用户的社交媒体账户与其个人信息关联起来，任何能够访问该数据库的人都可以轻松查明数百万OnlyFans用户的真实身份。将用户名、电子邮件、电话号码和社交媒体帐户关联起来，可能会使创作者和订阅者面临网络钓鱼活动、勒索、跟踪、冒充和有针对性的骚扰。

针对成人网站的网络攻击时有发生，今年年初知名中文成人网站海角社区也曾发生一起数据泄露事件，一名威胁行为者在DarkForums发布了一个数据，包含大约1570万条用户记录。

“暗网下/AWX”还看到，今年1月，网络安全研究员Jeremiah Fowler在一个公开泄露的数据库中发现了OnlyFans用户的登录凭证。该数据库包含近1.5亿条热门社交媒体和在线平台（如 Gmail、Facebook、Yahoo、Outlook 等）的登录凭证，包括4800万个Gmail帐户、400万个Yahoo帐户、1700万个Facebook帐户、650万个Instagram帐户、340万个Netflix帐户、150万个Outlook帐户、140万个.edu帐户，以及其他许多帐户。

看似无关的数据泄露事件中的信息交叉引用，恰恰说明了在线数据泄露的危险性。用户通常会使用一个或几个电子邮件地址注册多个在线账户。一旦发生数据泄露，一个数据集就可以作为参考点，用于匹配电子邮件地址并获取其他数据。