OnlyFans : un hacker vend 340 millions de données sans pirater la plateforme
Un acteur malveillant proposait depuis le 25 mai 2026 la vente d'une base de données prétendument constituée de 340 millions d'utilisateurs d'OnlyFans sur un célèbre forum cybercriminel. Évaluée à 0,313 bitcoin, soit environ 76 000 dollars, cette offre a provoqué une onde de choc parmi les créateurs de contenu et les abonnés de la plateforme. Pourtant, les experts en cybersécurité s'accordent à dire qu'il ne s'agirait pas d'un piratage direct, mais d'un assemblage de données issues d'anciennes fuites numériques.
La publication est apparue le 25 mai 2026 sur un forum fréquenté par des acteurs du cybercrime. L'annonce, signée d'un utilisateur se faisant appeler « Euphoric_Reply_5727 », promettait l'accès à « 340 millions de profils utilisateurs » liés à OnlyFans. L'acheteur potentiel devait débourser 0,313 bitcoin, une somme correspondant à environ 76 000 dollars au moment de la mise en vente. Dans son descriptif initial, le vendeur affirmait que les données provenaient des « bases de données internes d'OnlyFans », incluant des informations personnelles, des métriques de compte, des profils sociaux liés et des données bancaires partielles.
Mais le site spécialisé HackRead, après avoir contacté directement le vendeur via Telegram, a obtenu des aveux pour le moins surprenants. Dans la conversation privée, le cybercriminel a reconnu : « Nous n'avons pas piraté ni violé les systèmes d'OnlyFans. Nous avons utilisé des fuites et des bases de données existantes que nous avons ensuite croisées avec les profils d'utilisateurs de la plateforme. » Cette révélation change radicalement la nature de l'incident : il s'agit donc d'une base de données construite par corrélation, et non d'une intrusion dans les systèmes propres à OnlyFans.
Une compilation d'anciennes fuites, pas un piratage direct
L'examen des données échantillons partagées par le vendeur aux chercheurs en sécurité permet de mieux cerner le contenu réel de cette base. Celle-ci se présenterait sous la forme d'une compilation de texte brut regroupant des noms d'utilisateurs, des adresses électroniques, des numéros de téléphone, des dates d'inscription, le nombre d'abonnés, des statistiques sur les contenus mis en ligne, ainsi que des profils de réseaux sociaux liés — notamment Instagram et Twitter. Certaines entrées comportent également un champ intitulé « card », que le vendeur décrit comme les quatre derniers chiffres d'une carte de paiement associée au compte, information que les chercheurs n'ont pas pu vérifier de façon indépendante.
L'analyse révèle également des incohérences : des enregistrements incomplets, des valeurs de substitution comme « None », ainsi que des métriques de profil visibles publiquement. Néanmoins, HackRead a confirmé que plusieurs noms d'utilisateur et détails associés dans les données échantillons correspondaient bien à de vrais comptes OnlyFans accessibles publiquement. Sur dix identifiants testés, tous correspondaient à des profils réels sur la plateforme. Ce cas rappelle celui d'EgyptAir, qui avait lui aussi démenti un piratage de données personnelles revendiqué par un cybercriminel en février 2026.
Ce type d'opération s'inscrit dans une tendance croissante dans le milieu cybercriminel : la construction de bases de données identitaires par corrélation de sources disparates. Les acteurs malveillants croisent des données issues d'anciennes violations avec des informations publiquement accessibles afin de constituer des profils complets et revendables. La valeur de ces compilations ne réside plus dans la possession de mots de passe volés, mais dans la capacité à relier des identités en ligne à des identités réelles, transformant ainsi des informations anodines en outils de ciblage précis.
Des risques concrets pour créateurs et abonnés
Si l'absence d'intrusion directe dans les serveurs d'OnlyFans peut sembler rassurante, les experts en cybersécurité mettent en garde contre une sous-estimation des risques. La corrélation entre noms d'utilisateur, adresses e-mail, numéros de téléphone et comptes sur les réseaux sociaux suffit à exposer créateurs et abonnés à des menaces très concrètes. Les scénarios les plus probables incluent des campagnes de phishing ciblé, des tentatives de chantage, du harcèlement en ligne, de la traque numérique (stalking), de l'usurpation d'identité et des attaques personnalisées tirant parti des informations recoupées.
Pour les créateurs de contenu sur OnlyFans — qui sont souvent des personnes souhaitant préserver l'anonymat entre leur vie professionnelle et leur activité en ligne — l'exposition de l'adresse e-mail personnelle, du numéro de téléphone et des réseaux sociaux associés représente une menace particulièrement grave. Un seul croisement de données peut suffire à dévoiler leur identité réelle à des inconnus malveillants, avec des conséquences potentiellement dévastatrices sur leur vie privée et professionnelle. Ce phénomène n'est pas sans rappeler le piratage de l'ANTS, qui avait exposé les données de 19 millions de Français, démontrant l'ampleur que peuvent prendre ces violations de données massives.
OnlyFans a réagi brièvement dans un communiqué transmis à HackRead, qualifiant ces informations de « fausses », sans apporter de précisions supplémentaires sur les données en question ni sur les affirmations du vendeur. Cette réponse laconique n'a pas manqué d'alimenter les inquiétudes des utilisateurs, qui attendaient une communication plus transparente et détaillée de la part de la plateforme.
Au moment de la publication de cet article, la base de données est toujours proposée à la vente sur le forum cybercriminel. Les utilisateurs d'OnlyFans — qu'ils soient créateurs ou abonnés — sont vivement invités à redoubler de vigilance face aux tentatives de phishing, à mettre à jour leurs mots de passe et à activer l'authentification à deux facteurs sur l'ensemble de leurs comptes en ligne. Dans un contexte où les cybercriminels disposent de techniques de corrélation de plus en plus sophistiquées, la prudence numérique n'est plus une option, mais une nécessité absolue pour protéger son identité et sa vie privée.