Vụ lộ 340 triệu tài khoản OnlyFans không phải là một vụ tấn công

Một tập dữ liệu được rao là hồ sơ cá nhân của 340 triệu người dùng OnlyFans đang được rao bán trên một diễn đàn rò rỉ nổi tiếng, với giá chưa tới một đồng Bitcoin. Tin rao hứa hẹn địa chỉ e-mail, số điện thoại, tên thật, bốn chữ số cuối của một thẻ thanh toán và chi tiết đáng nói nhất trên một nền tảng như thế này: các tài khoản mạng xã hội gắn với từng hồ sơ.

Trên hầu hết mọi dịch vụ khác, đó sẽ là một vấn đề riêng tư bình thường. Trên OnlyFans thì sắc bén hơn. Toàn bộ mối quan hệ giữa nền tảng và người dùng dựa trên một bức tường ngăn cách danh tính pháp lý của một người với những gì họ làm sau bức tường trả phí. Một tập tin nối tên thật và số điện thoại với một tài khoản OnlyFans là công cụ được tạo ra đúng để phá bức tường đó, và dù thật hay không, nó nhắm tới những người mua muốn đúng điều ấy.

Người bán mô tả mỗi tài khoản có một bản ghi: mã định danh, tên người dùng, họ tên đầy đủ, ngày đăng ký, e-mail, số điện thoại, số người theo dõi và lượt thích, số nội dung đã đăng, một dấu hiệu cho biết tài khoản là người hâm mộ hay nhà sáng tạo, cùng các liên kết tới hồ sơ trên những mạng khác. Anh ta đòi 0,313 Bitcoin, khoảng bảy mươi sáu nghìn đô la cho cả lô. Bán theo cách đó, nó giống một gói chọn mục tiêu hơn là một bảng tính. Trường hồ sơ liên kết là thứ biến một cơ sở dữ liệu thành vũ khí: với một nhà sáng tạo, nối tài khoản OnlyFans với một Instagram đã xác minh sẽ xóa bỏ ranh giới mà cả công việc của họ dựa vào.

OnlyFans nói rằng không có chuyện gì xảy ra. «Những thông tin này là sai sự thật», một người phát ngôn trả lời trang tin an ninh mạng đầu tiên đăng tin rao. Bản thân con số cũng gây nghi ngờ: 340 triệu gần bằng toàn bộ lượng người dùng đã đăng ký, đúng cái con số tròn trịa hiếm khi sống sót qua một vụ xâm nhập thật. Và lập luận mạnh nhất chống lại một vụ tấn công đến từ chính người bán: khi được liên hệ, anh ta thừa nhận dữ liệu chưa bao giờ lấy từ OnlyFans. Anh ta ghép nó lại bằng cách đối chiếu các vụ rò rỉ cũ của những nền tảng khác, trong đó có Twitter, Instagram và Spotify, với thông tin hồ sơ vốn đã công khai. Đó là một bản tổng hợp, không phải một vụ xâm nhập.

Sự phân biệt đó là toàn bộ câu chuyện, và chợ ngầm sống nhờ làm mờ nó. Một vụ rò rỉ thật rút ra dữ liệu mà công chúng chưa từng có; một bản tổng hợp sắp xếp lại dữ liệu đã rò rỉ ở nơi khác và khoác cho nó một thương hiệu mới, đáng sợ. «OnlyFans» bán được trên một diễn đàn theo cách mà «một danh sách dựng từ dữ liệu Twitter năm năm trước» không bao giờ làm được. Những vụ «tấn công» được cho là hàng tỷ tài khoản WhatsApp hay Gmail thỉnh thoảng nổi lên cũng vận hành y như vậy, và gần như luôn hóa ra là các danh sách thông tin đăng nhập tái chế.

Không điều nào trong số đó khiến tập tin trở nên vô hại. Vũ khí ở đây là sự liên kết, không phải tính mới mẻ. Một cái tên vốn đã công khai ở một nơi và một e-mail rò rỉ ở nơi khác, đứng riêng thì chẳng đáng bao nhiêu; gắn với một tài khoản OnlyFans, chúng trở thành tấm bản đồ dẫn từ danh tính thường ngày của một người tới tài khoản nội dung người lớn của họ. Tấm bản đồ ấy là nguyên liệu cho các tin nhắn tống tiền tình dục trích dẫn chi tiết thật để trông đáng tin, cho lừa đảo nhắm vào tài khoản nhận tiền của nhà sáng tạo, và cho việc theo dõi quấy rối và mạo danh mà nhiều người đã hứng chịu, nay kẻ tấn công khỏi cần tự phân loại.

Với bất kỳ ai từng nối một tài khoản Instagram hay X vào một hồ sơ OnlyFans, dù là người hâm mộ hay nhà sáng tạo và ở bất kỳ thị trường nào, an toàn nhất là giả định rằng mối liên kết đó đã có thể tìm ra và nay có thể đã được đóng gói để bán. Lời khuyên của các chuyên gia không hào nhoáng: hãy coi mọi tin nhắn có vẻ «biết» hoạt động OnlyFans của bạn như một thủ đoạn gây áp lực chứ không phải bằng chứng, đừng bao giờ trả tiền cho một đòi hỏi tống tiền, và bật xác thực hai bước để một mật khẩu rò rỉ một mình không mở được tài khoản. Tin rao vẫn còn đó, và các nhà nghiên cứu đang rà soát mẫu để đo xem bao nhiêu là thật, tái chế hay đơn thuần bịa ra, câu hỏi duy nhất mà cái giá thực sự phụ thuộc vào. Chừng nào một cái tên nổi tiếng trên diễn đàn còn đáng giá hơn dữ liệu đằng sau nó, vụ «rò rỉ khổng lồ» kế tiếp đã được dựng từ mảnh vụn của mười vụ trước.