340 miljoen OnlyFans-records te koop zijn gerecyclede datalekgegevens

Een dreigingsactor adverteert momenteel op ondergrondse marktplaatsen een database met 340 miljoen vermeende OnlyFans-gebruikersgegevens. Het aantal klinkt alarmerend, maar het verhaal erachter is misschien wel belangrijker dan de omvang: beveiligingsonderzoekers die de aanbieding bekijken, zeggen dat de database niet het product is van een directe aanval op de OnlyFans-infrastructuur. In plaats daarvan lijkt het een compilatie te zijn van samengevoegde gebruikersgegevens uit datalekken, bijeengebracht uit meerdere oudere, niet-gerelateerde lekken. Dat onderscheid is van enorm belang voor het begrijpen van je eigen blootstelling.

Wat de database van 340 miljoen OnlyFans-records werkelijk bevat

Wanneer een aanbieding beweert honderden miljoenen records te bevatten die aan één platform zijn gekoppeld, nemen de meeste mensen aan dat dat platform is gehackt. In dit geval denken onderzoekers dat de gegevens zijn samengesteld door e-mailadressen en inloggegevens uit eerdere datalekken te kruisverwijzen en ze vervolgens te matchen met bekende OnlyFans-accounts of waarschijnlijke gebruikers.

Dit wordt soms een 'combo-lijst' of een samengestelde inloggegevensdump genoemd. Meestal bevat het gebruikersnamen, e-mailadressen en wachtwoorden die elders zijn blootgesteld, samengevoegd en opnieuw gelabeld onder de naam van een bekend platform om de waargenomen waarde te verhogen en kopers aan te trekken. De gegevens zijn mogelijk niet nieuw en niet elk record komt overeen met een actief of zelfs maar bestaand OnlyFans-account. Maar dat maakt het niet ongevaarlijk.

Het echte gevaar is dat de onderliggende inloggegevens echt zijn, gestolen bij echte datalekken, en dat veel gebruikers de wachtwoorden die jaren geleden zijn blootgesteld nooit hebben gewijzigd.

Hoe oude datalekken opnieuw worden gebruikt op nieuwe marktplaatsen

Gegevens uit datalekken verdwijnen zelden. Zodra inloggegevens zijn gestolen, circuleren ze via privéfora, worden ze meerdere keren verkocht en uiteindelijk verpakt in nieuwe compilaties die onder andere namen weer opduiken. Criminelen verhandelen deze lijsten zoals verzamelaars kaarten ruilen, en de meest effectieve strategie is om ze te koppelen aan een platform met een grote, potentieel in verlegenheid gebrachte gebruikersbasis.

OnlyFans is een voor de hand liggend doelwit voor dit soort herverpakking. De gebruikers hebben sterke privacyredenen om te betalen of mee te werken als ze worden bedreigd, waardoor de database aantrekkelijk is voor afpersers, zelfs als de onderliggende gegevens jaren oud zijn.

Dit recyclingpatroon is niet uniek voor dit incident. ShinyHunters, een van de meest productieve hackgroepen die momenteel actief is, heeft herhaaldelijk laten zien hoe gegevens uit één datalek vervolgaanvallen op totaal andere organisaties voeden, een patroon dat geen tekenen van vertraging vertoont. Aanvallers kopen of stelen een dataset, verrijken deze met andere gestolen gegevens en verkopen een completer beeld van individuele gebruikers door.

Het resultaat is dat een datalek dat je in 2018 trof, in 2025 nog steeds tegen je kan worden gebruikt, vooral als je nooit je e-mailadres of wachtwoord hebt gewijzigd.

Wie het grootste risico loopt door samengestelde datalekgegevens

De mensen die het kwetsbaarst zijn voor een samengestelde datalekdatabase, zijn degenen die wachtwoorden hergebruiken op meerdere accounts. Als je OnlyFans-login dezelfde inloggegevens gebruikt als je e-mail, bankapp of sociale-mediaprofiel, kan een dreigingsactor die deze compilatie in handen heeft, proberen toegang te krijgen tot al die accounts via credential stuffing-aanvallen: geautomatiseerde tools die gestolen combinaties van gebruikersnamen en wachtwoorden op inlogpagina's afvuren totdat er iets werkt.

Gevoeligheid is ook een factor. OnlyFans-accounts bevatten persoonlijke content, betalingsinformatie en berichtengeschiedenis. Zelfs als een dreigingsactor geen directe toegang tot een account kan krijgen, is de dreiging van openbaarmaking boven het hoofd van een gebruiker hangen voldoende om geld of medewerking af te dwingen. Vergelijkbare blootstellingsdynamiek speelde toen het datalek bij Eurail 300.000 paspoortnummers in gevaar bracht, wat laat zien hoe gegevens die aan de persoonlijke identiteit zijn gekoppeld een buitenproportioneel schadepotentieel met zich meebrengen.

Mensen die accounts hebben aangemaakt met hun echte naam, primaire e-mailadres of thuisadres lopen het meest directe risico. Degenen die hun identiteit vanaf het begin hebben gecompartimenteerd, zijn beter beschermd.

Hoe dataminimalisatie en privacyhulpmiddelen je blootstelling verminderen

De belangrijkste les uit samengestelde datalekcompilaties is dat je blootstelling cumulatief is. Elk account dat je aanmaakt met je echte e-mailadres en een hergebruikt wachtwoord voegt nog een item toe aan de gegevenspool die tegen je kan worden samengesteld.

Dataminimalisatie – het gebruik van alias-e-mailadressen, unieke wachtwoorden voor elk account en beperkte persoonlijke gegevens bij registratie – vermindert direct hoeveel schade een compilatie als deze kan aanrichten. Wachtwoordmanagers maken unieke inloggegevens praktisch. Alias-e-maildiensten laten je wegwerp-e-mailadressen aanmaken die doorsturen naar je inbox zonder je primaire adres bloot te stellen.

Een VPN voorkomt niet dat je inloggegevens in een datalekdump verschijnen, maar het vermindert wel de hoeveelheid identificerende metadata – je IP-adres, surfgedrag en locatiegegevens – die in de loop van de tijd aan je accounts kunnen worden gekoppeld. Hoe minder bevestigende gegevens er in verschillende diensten bestaan, hoe moeilijker het voor aanvallers is om een nauwkeurig profiel samen te stellen uit verspreide records. Aanvallers hebben ook laten zien bereid te zijn zwakke netwerktoegangspunten te misbruiken om gevoelige systemen te bereiken, wat onderstreept dat netwerkhygiëne een belangrijke verdedigingslaag blijft.

Regelmatig controleren of je e-mailadres voorkomt in bekende datalekdatabases is een gratis stap van vijf minuten die je bruikbare informatie geeft over waar je gegevens al zijn blootgesteld.

Wat dit voor jou betekent

De aanbieding van 340 miljoen OnlyFans-records is een herinnering dat samengestelde gebruikersgegevens uit datalekken een aanhoudende, zich opstapelende dreiging vormen, niet een eenmalige gebeurtenis. Je hoeft geen huidige OnlyFans-gebruiker te zijn om getroffen te worden. Als je ooit dezelfde combinatie van e-mailadres en wachtwoord hebt gebruikt op een platform dat eerder is gehackt, kunnen je inloggegevens in een compilatie als deze opduiken.

Hier zijn drie concrete stappen die je nu kunt nemen:

  1. Audit je wachtwoorden. Gebruik een wachtwoordmanager om hergebruikte of oude inloggegevens te identificeren en te vervangen, te beginnen met je meest gevoelige accounts.
  2. Controleer je e-mailblootstelling. Zoek je primaire e-mailadres op in een gerenommeerde datalekmeldingendienst om te zien waar je gegevens al zijn opgedoken.
  3. Compartimenteer voortaan. Gebruik alias-e-mailadressen voor elk account dat je liever niet aan je echte identiteit koppelt.

Dit verhaal zal zich herhalen. Compilaties worden groter bij elk nieuw datalek en de markt voor gerecyclede gegevens blijft actief en winstgevend. Door nu betere gewoonten aan te leren, verklein je de schade die elke nieuwe aanbieding je kan toebrengen.