OnlyFans-lækken med 340 millioner konti er ikke et hack

Et datasæt, der markedsføres som personoplysninger om 340 millioner OnlyFans-brugere, udbydes til salg på et kendt lækageforum for en brøkdel af en enkelt Bitcoin. Annoncen lover e-mailadresser, telefonnumre, rigtige navne, de sidste fire cifre på et betalingskort og den detalje, der vejer tungest på en platform som denne: de sociale mediekonti, der er knyttet til hver profil.

På næsten enhver anden tjeneste ville det være et almindeligt privatlivsproblem. På OnlyFans er det skarpere. Hele forholdet mellem platformen og brugerne hviler på en mur mellem en persons juridiske identitet og det, de gør bag en betalingsmur. En fil, der knytter et rigtigt navn og et telefonnummer til en OnlyFans-konto, er et værktøj bygget netop til at rive den mur ned, og ægte eller ej henvender den sig til købere, der vil have præcis det.

Sælgeren beskriver én post pr. konto: id, brugernavn, fulde navn, oprettelsesdato, e-mail, telefon, antal følgere og likes, mængden af offentliggjort indhold, en markering af, om kontoen tilhører en fan eller en skaber, samt links til profiler på andre netværk. Prisen er 0,313 Bitcoin, omkring seksoghalvfjerds tusind dollars for hele samlingen. Solgt på den måde ligner det mindre et regneark og mere en målpakke. Feltet med de tilknyttede profiler er det, der gør en database til et våben: for en skaber river koblingen mellem OnlyFans-kontoen og et verificeret Instagram den adskillelse ned, som hele forretningen bygger på.

OnlyFans siger, at intet af dette er sket. «Disse oplysninger er falske», svarede en talsperson til det sikkerhedsmedie, der først bragte annoncen. Selve tallet vækker tvivl: 340 millioner ligger tæt på hele den registrerede brugerbase, netop det runde totaltal, der sjældent overlever et reelt indbrud. Og det stærkeste argument mod et hack kom fra sælgeren selv: ved kontakt indrømmede han, at dataene aldrig var hentet fra OnlyFans. Han satte dem sammen ved at krydse ældre læk fra andre platforme, heriblandt Twitter, Instagram og Spotify, med allerede offentlige profiloplysninger. Det er en sammenstilling, ikke et indbrud.

Den skelnen er hele historien, og det sorte marked lever af at udviske den. En ægte læk trækker data ud, som offentligheden aldrig har haft; en sammenstilling omsorterer data, der allerede er lækket et andet sted, og giver dem et nyt, skræmmende mærke. «OnlyFans» sælger på et forum, som «en liste bygget på fem år gamle Twitter-data» aldrig ville kunne. De påståede milliard-«hacks» af WhatsApp eller Gmail, der dukker op med jævne mellemrum, fungerer på samme måde og viser sig næsten altid at være genbrugte loginlister.

Intet af dette gør filen harmløs. Våbnet her er sammenkædningen, ikke nyheden. Et navn, der allerede er offentligt ét sted, og en e-mail, der er lækket et andet, vejer hver for sig lidt; knyttet til en OnlyFans-konto bliver de et kort fra en persons hverdagsidentitet til deres voksenkonto. Det kort er råstoffet til sextortion-beskeder, der citerer rigtige detaljer for at virke troværdige, til phishing rettet mod skaberes udbetalingskonti og til den forfølgelse og identitetstyveri, som mange allerede oplever, nu uden at angriberen selv skal sortere.

Enhver, der nogensinde har koblet en Instagram- eller X-konto til en OnlyFans-profil, fan eller skaber og på et hvilket som helst marked, bør gå ud fra, at forbindelsen allerede kan findes og nu måske er pakket til salg. Eksperternes råd er udramatisk: behandl enhver besked, der lader til at «kende» din OnlyFans-aktivitet, som et pressionsmiddel og ikke som bevis, betal aldrig et afpresningskrav, og slå tofaktorgodkendelse til, så en lækket adgangskode ikke alene kan åbne kontoen. Annoncen er stadig online, og forskere gennemgår stikprøver for at måle, hvor meget der er ægte, genbrugt eller ren opdigtning, det eneste spørgsmål, prisen faktisk hænger på. Så længe et berømt navn på et forum er mere værd end dataene bag, bliver det næste «megalæk» allerede bygget af resterne fra de ti foregående.