OnlyFans: 340 Millionen Datensätze im Darknet, aber kein echter Hack
Seit dem 24. Mai kursiert in Untergrundforen ein Datensatz, der angeblich 340 Millionen OnlyFans-Nutzerkonten enthalten soll. Der Verkäufer, der unter dem Alias „Euphoric_Reply_5727“ auftritt, bietet die Datenbank für 0,313 Bitcoin (rund 76.000 US-Dollar) an. Der Vorfall klingt nach einem spektakulären Hack, ist aber bei näherer Betrachtung deutlich weniger dramatisch, als die Schlagzeilen vermuten lassen.
Kein direkter Plattform-Hack
Das Entscheidende: Der Verkäufer selbst räumte gegenüber dem Sicherheitsportal Hackread ein, dass OnlyFans nie direkt kompromittiert wurde. Die Datenbank wurde nicht aus den Systemen der Plattform gestohlen, sondern aus bestehenden Leaks anderer Dienste sowie öffentlich verfügbaren Profilinformationen zusammengestellt. Als Quellen nannte er unter anderem frühere Datenpannen bei Twitter, Instagram und Spotify.
Cybernews hat Stichproben der angebotenen Daten gesichtet und festgestellt, dass die enthaltenen Einträge offenbar aus dem Zeitraum um August 2025 stammen. Aktuell sind sie also nicht. Zudem wiesen die Datensätze Auffälligkeiten auf: Fehlende Felder, Platzhalter wie „None“ und ein Format, das nicht dem entspricht, wie eine moderne Plattform ihre internen Datenbankeinträge strukturieren würde.
Was der Verkäufer betrieben hat, nennt sich in der Fachsprache ein „Composite Breach“, also eine synthetische Datenbank, die aus vielen älteren Leaks und öffentlichen Quellen zusammengeführt wurde. Dieser Ansatz ist unter Cyberkriminellen zunehmend verbreitet, weil er weniger technischen Aufwand erfordert als ein echter Einbruch, aber trotzdem ein vermarktbares Produkt liefert.
Was in den Daten stecken soll
Laut dem Forumseintrag enthält der Datensatz Benutzernamen, E-Mail-Adressen, Telefonnummern, Follower-Zahlen, Beitrittsdaten, verknüpfte Social-Media-Profile sowie die letzten vier Ziffern hinterlegter Zahlungskarten. Letzteres konnte von Hackread nicht verifiziert werden. Es ist möglich, dass diese Angaben authentisch sind, aus älteren Leaks stammen oder schlicht erfunden wurden, um den Preis zu rechtfertigen.
Sicherheitsforscher Troy Hunt, Betreiber des Breach-Tracking-Dienstes Have I Been Pwned, äußerte öffentlich Skepsis. Die Art der enthaltenen Daten passe nicht zum beschriebenen Entstehungsweg, es sei denn, OnlyFans hätte persönliche Daten über öffentlich zugängliche Endpunkte exponiert. Einzelne Stimmen auf X spekulieren sogar, ob Teile der Datenbank KI-generiert sein könnten. Belegt ist das bisher nicht.
Warum das trotzdem ein echtes Risiko ist
Auch wenn kein direkter Hack stattgefunden hat, ist die Gefahr für Betroffene nicht null. OnlyFans ist eine Plattform, auf der viele Nutzer, sowohl Creator als auch Abonnenten, mit Pseudonymen arbeiten, weil sie ihren echten Namen bewusst von ihrer Aktivität auf der Plattform trennen wollen. Eine Datenbank, die OnlyFans-Nutzernamen mit E-Mail-Adressen, Telefonnummern und Social-Media-Profilen verknüpft, hebt diese Trennung auf, unabhängig davon, ob die Daten frisch gestohlen oder aus alten Quellen aggregiert wurden.
Das schafft konkrete Angriffsflächen: gezielte Phishing-Mails, Erpressungsversuche („Wir wissen, dass du OnlyFans nutzt“), Doxxing und Stalking. Wer unter Pseudonym auf der Plattform aktiv ist und den Zusammenhang mit seiner realen Identität schützen möchte, sollte die Situation ernst nehmen.
- E-Mail-Adresse auf Have I Been Pwned (haveibeenpwned.com) prüfen, um festzustellen, ob sie in bekannten Leaks auftaucht.
- Passwörter zu OnlyFans und verknüpften Diensten ändern, sofern dasselbe Passwort mehrfach verwendet wird.
- Zwei-Faktor-Authentifizierung für alle relevanten Konten aktivieren, falls noch nicht geschehen.
- Auf unerwartete Kontaktversuche per E-Mail oder Telefon achten, besonders solche mit persönlichen Details, die nicht öffentlich sein sollten.
