近日一名網路駭客在犯罪論壇上公開兜售龐大資料庫，聲稱涵蓋逾 3.4 億名 OnlyFans 創作者與訂閱者的個人資訊，開價 7.6 萬美元。然而外界調查曝光，這批資料並非直接入侵 OnlyFans 所獲得，而是透過比對多個平台的舊有外洩資料庫整理而成。

駭客兜售 OnlyFans 用戶個資，開價 0.313 枚比特幣

本週稍早，一名使用帳號「Euphoric_Reply_5727」的用戶在知名網路犯罪論壇上刊登廣告，聲稱擁有「3.4 億筆 OnlyFans 用戶資料」，並以 0.313 枚比特幣（當時價值約 7.6 萬美元）公開求售。

OnlyFans is Hacked 🚨

Apparently OnlyFans has been hacked and they’re selling the complete database of 340 million users

including data of content creators and consumers.

The leaked data includes

– Usernames and profile names
– Email addresses
– Phone numbers
-… pic.twitter.com/gsNn4UpWD9

— StarPlatinum (@StarPlatinum_) May 24, 2026

賣家宣稱資料來源為「OnlyFans 內部資料庫」，內容包含用戶個人名稱、電話號碼、電子郵件、追蹤與訂閱者數據、連結的社群媒體帳號，以及付款資料，外界擔憂恐導致針對使用者的大規模勒索潮。

賣家自揭：並未駭入 OnlyFans，而是比對舊有外洩資料

然而，資安媒體 Hackread 在調查資料來源後透過 Telegram 聯繫賣家，對方便在私訊中坦承，他們並未直接入侵或滲透 OnlyFans 系統，而是蒐集來自 Twitter（現為 X）與 Instagram 等平台過去外洩的資料庫，再將其中的用戶資訊與 OnlyFans 上的帳號進行比對與連結，進而建構出這批龐大的資料集。

卡號真實性存疑，但其他個資經驗證屬實

研究人員取得樣本資料後進行分析，發現內容包含用戶名稱、電子郵件地址、電話號碼、加入日期、追蹤人數、按讚數、上傳內容統計、帳號類型，以及連結的社群媒體帳號。部分紀錄中還出現標示為「card」的欄位，賣家聲稱這是用戶的信用卡末四碼。

然而，樣本中也存在大量不完整紀錄與「None」等標示，資料格式也跟現代平台的內部資料庫儲存方式不同，顯示其真實性有待商榷。Hackread 獨立比對後確認，部分用戶名稱與相關資訊確實對應至真實的 OnlyFans 公開帳號；但信用卡資訊的說法目前無法驗證，疑似為哄抬資料售價所添加。

資料外洩風險不容小覷，創作者與訂閱者均受威脅

儘管此批資料並非源自直接入侵，其潛在危害仍不容低估。將用戶名稱、電子郵件、電話號碼與社群媒體帳號相互串聯比對，足以讓 OnlyFans 的創作者與訂閱者暴露於多種資安威脅之中，包括釣魚攻擊、勒索、跟蹤騷擾與身份冒用。

尤其對於部分用戶而言，OnlyFans 帳號身份與現實身份的連結一旦曝光，可能帶來難以挽回的個人與職業衝擊。

舊資料拼湊成新威脅，網路安全新隱憂

此案揭示出網路地下市場一個日益普遍的手法：威脅行為者不再需要直接入侵目標平台，而是透過整合多個舊有外洩資料庫與公開資訊，建立可搜尋的身份資料庫，其核心價值在於將網路上的匿名帳號與真實世界的個人身份進行連結。

即便這種攻擊手法成本與門檻都很低，但能製造出看似規模龐大的資料外洩事件，對個人隱私構成實質威脅。截至目前，OnlyFans 官方仍未就此事做出回應。