OnlyFans nega vazamento de 340 milhões de contas, e o vendedor também

Um conjunto de dados anunciado como os registros pessoais de 340 milhões de usuários do OnlyFans está à venda em um conhecido fórum de vazamentos, por uma fração de um único Bitcoin. O anúncio promete e-mails, números de telefone, nomes reais, os quatro últimos dígitos de um cartão de pagamento e o detalhe que mais pesa em uma plataforma como essa: as contas de redes sociais ligadas a cada perfil.

Em quase qualquer outro serviço, isso seria um problema de privacidade comum. No OnlyFans, é algo mais cortante. Toda a relação entre a plataforma e quem a usa se apoia em um muro que separa a identidade legal de uma pessoa do que ela faz atrás de um paywall. Um arquivo que liga um nome real e um telefone a uma conta do OnlyFans é uma ferramenta feita para derrubar esse muro e, sendo verdadeiro ou não, é oferecido a quem procura exatamente isso.

O vendedor descreve um registro por conta: identificador, nome de usuário, nome completo, data de cadastro, e-mail, telefone, número de seguidores e de curtidas, quantidade de conteúdo publicado, uma marcação indicando se é fã ou criador e links para perfis em outras redes. Ele pede 0,313 Bitcoin, cerca de setenta e seis mil dólares pelo lote inteiro. Vendido assim, parece menos uma planilha e mais um pacote para escolher alvos. O campo dos perfis ligados é o que transforma um banco de dados em arma: para um criador, unir a conta do OnlyFans a um Instagram verificado derruba a separação que sustenta o seu trabalho.

O OnlyFans afirma que nada disso aconteceu. «Esses relatos são falsos», respondeu um porta-voz ao veículo de segurança que divulgou o anúncio. O próprio número alimenta a dúvida: 340 milhões está perto de toda a base de usuários cadastrados, aquele total redondo que raramente sobrevive a uma invasão real. E o argumento mais forte contra um ataque veio do próprio vendedor: contatado, ele admitiu que os dados nunca saíram do OnlyFans. Montou tudo cruzando vazamentos antigos de outras plataformas, entre elas Twitter, Instagram e Spotify, com informações de perfil que já eram públicas. É uma compilação, não uma invasão.

Essa distinção é a história inteira, e o mercado clandestino vive de embaralhá-la. Um vazamento real extrai dados que o público nunca teve; uma compilação reorganiza dados que já vazaram em outro lugar e lhes dá uma marca nova e assustadora. «OnlyFans» vende em um fórum como jamais venderia «uma lista feita com registros do Twitter de cinco anos atrás». Os supostos «ataques» de bilhões de contas do WhatsApp ou do Gmail que reaparecem de tempos em tempos funcionam do mesmo jeito e quase sempre acabam sendo listas de credenciais recicladas.

Nada disso torna o arquivo inofensivo. A arma aqui é a correlação, não a novidade. Um nome já público de um lado e um e-mail vazado de outro valem pouco isolados; ligados a uma conta do OnlyFans, viram um mapa que vai da identidade cotidiana de alguém até o seu perfil de conteúdo adulto. Esse mapa é a matéria-prima das mensagens de sextorsão que citam detalhes reais para parecer críveis, do phishing voltado às contas de pagamento dos criadores e do assédio e da falsidade ideológica que muitos já enfrentam sem que um atacante tenha a triagem pronta.

Para quem já ligou uma conta do Instagram ou do X a um perfil do OnlyFans, fã ou criador e em qualquer mercado, o mais seguro é presumir que essa conexão já pode ser encontrada e talvez já esteja empacotada para venda. O conselho dos especialistas é sem brilho: tratar qualquer mensagem que pareça «saber» da sua atividade no OnlyFans como tática de pressão, e não como prova, nunca pagar uma extorsão e ativar a verificação em duas etapas para que uma senha vazada sozinha não abra a conta. O anúncio segue no ar e os pesquisadores analisam amostras para medir quanto há de real, reciclado ou simplesmente inventado, a única pergunta da qual o preço realmente depende. Enquanto um nome famoso em um fórum valer mais do que os dados por trás dele, o próximo «megavazamento» já está sendo montado com os restos dos dez anteriores.