340 milyonluk OnlyFans sızıntısı bir saldırı değil, tehlike de burada

340 milyon OnlyFans kullanıcısının kişisel kayıtları olarak tanıtılan bir veri kümesi, bilinen bir sızıntı forumunda tek bir Bitcoin’in küçük bir kısmı karşılığında satışa çıkarıldı. İlan e-posta adreslerini, telefon numaralarını, gerçek isimleri, bir ödeme kartının son dört hanesini ve böyle bir platformda en çok ağırlığı olan ayrıntıyı vaat ediyor: her profile bağlı sosyal medya hesapları.

Neredeyse her başka serviste bu sıradan bir gizlilik sorunu olurdu. OnlyFans’te ise daha keskin. Platform ile kullanıcıları arasındaki bütün ilişki, bir kişinin yasal kimliği ile ödeme duvarının ardında yaptıkları arasındaki bir duvara dayanır. Gerçek bir adı ve telefon numarasını bir OnlyFans hesabına bağlayan bir dosya, tam da bu duvarı yıkmak için yapılmış bir araçtır; gerçek olsun olmasın, tam olarak bunu isteyen alıcılara hitap ediyor.

Satıcı her hesap için bir kayıt tanımlıyor: kimlik, kullanıcı adı, tam ad, kayıt tarihi, e-posta, telefon, takipçi ve beğeni sayısı, paylaşılan içerik miktarı, hesabın bir hayrana mı yoksa bir içerik üreticisine mi ait olduğunu gösteren bir işaret ve diğer ağlardaki profillere bağlantılar. Bütün küme için 0,313 Bitcoin, yaklaşık yetmiş altı bin dolar istiyor. Bu şekilde satıldığında bir hesap tablosundan çok bir hedefleme paketine benziyor. Bağlı profiller alanı, bir veri tabanını silaha dönüştüren şeydir: bir içerik üreticisi için OnlyFans hesabını doğrulanmış bir Instagram ile birleştirmek, işinin dayandığı ayrımı ortadan kaldırır.

OnlyFans hiçbirinin yaşanmadığını söylüyor. «Bu iddialar asılsız», dedi bir sözcü, ilanı ilk yayımlayan güvenlik yayınına. Sayının kendisi de kuşku uyandırıyor: 340 milyon, kayıtlı kullanıcı tabanının tamamına yakın; gerçek bir sızmadan nadiren sağ çıkan o yuvarlak, toplam rakam. Saldırıya karşı en güçlü argüman ise satıcının kendisinden geldi: kendisine ulaşıldığında, verilerin OnlyFans’ten hiç çıkmadığını kabul etti. Bunları, aralarında Twitter, Instagram ve Spotify’ın da bulunduğu başka platformların eski sızıntılarını, zaten herkese açık profil bilgileriyle çaprazlayarak derledi. Bu bir derleme, bir sızma değil.

Bu ayrım hikâyenin tamamı ve yeraltı pazarı onu bulanıklaştırmaktan geçiniyor. Gerçek bir sızıntı, kamunun hiç sahip olmadığı verileri dışarı çıkarır; bir derleme ise başka yerde zaten sızmış verileri yeniden düzenler ve onlara taze, korkutucu bir marka giydirir. «OnlyFans», bir forumda «beş yıl önceki Twitter kayıtlarından kurulmuş bir liste»nin asla satamayacağı gibi satar. Zaman zaman gündeme gelen sözde milyarlarca hesaplık WhatsApp veya Gmail «saldırıları» da aynı şekilde işler ve neredeyse her zaman geri dönüştürülmüş kimlik bilgisi listeleri çıkar.

Bunların hiçbiri dosyayı zararsız kılmıyor. Buradaki silah, yenilik değil, ilişkilendirmedir. Bir yerde zaten herkese açık olan bir ad ile başka bir yerde sızmış bir e-posta tek başına az şey ifade eder; bir OnlyFans hesabına bağlandıklarında, bir kişinin günlük kimliğinden yetişkin içerik hesabına giden bir harita olurlar. Bu harita, inandırıcı görünmek için gerçek ayrıntılar aktaran cinsel şantaj mesajlarının, içerik üreticilerinin ödeme hesaplarını hedef alan oltalamanın ve bir saldırganın ayıklama işini önceden yapmasına gerek kalmadan birçoğunun zaten yaşadığı taciz ile kimlik taklidinin ham maddesidir.

Bir Instagram ya da X hesabını bir OnlyFans profiline bir kez bağlamış olan herkes için, hayran ya da üretici ve hangi pazarda olursa olsun, bu bağlantının çoktan bulunabilir olduğunu ve artık satışa paketlenmiş olabileceğini varsaymak en güvenlisidir. Uzmanların tavsiyesi gösterişsiz: OnlyFans etkinliğinizi «biliyor» gibi görünen her mesajı bir kanıt değil bir baskı aracı olarak görün, asla bir şantaj ödemesi yapmayın ve sızdırılmış bir parolanın tek başına hesabı açamaması için iki adımlı doğrulamayı açın. İlan hâlâ yayında ve araştırmacılar, ne kadarının gerçek, geri dönüştürülmüş ya da tümüyle uydurma olduğunu ölçmek için örnekleri inceliyor; fiyatın asıl bağlı olduğu tek soru bu. Bir forumdaki ünlü bir ad, arkasındaki verilerden daha değerli olduğu sürece, bir sonraki «mega sızıntı» çoktan son on sızıntının enkazından kuruluyor.