3.4億OnlyFans記錄遭掛牌出售，但根本沒人駭進OnlyFans

一份被宣稱為3.4億OnlyFans使用者個人記錄的資料，正在一個知名的外洩論壇上掛牌出售，標價還不到一枚比特幣。賣家承諾提供電子郵件、電話號碼、真實姓名、支付卡的後四碼，以及在這類平台上分量最重的一項：與每個個人檔案綁定的社群媒體帳號。

換作幾乎任何其他服務，這只是尋常的隱私問題。在OnlyFans上，它更為鋒利。平台與使用者之間的全部關係，都建立在一道牆上：把一個人的法律身分，與他在付費牆後所做的事隔開。一份把真實姓名與電話號碼連到某個OnlyFans帳號的檔案，正是為推倒這道牆而造的工具；無論真假，它面向的就是想要這一點的買家。

賣家說每個帳號對應一筆記錄：識別碼、使用者名稱、全名、註冊日期、電子郵件、電話、粉絲數與按讚數、發布內容的數量、標明該帳號屬於粉絲還是創作者的標記，以及指向其他網路個人檔案的連結。他為整批開價0.313比特幣，約合七萬六千美元。這樣賣出來，它不像一張試算表，更像一份目標清單。綁定個人檔案這一欄，正是把資料庫變成武器的地方：對創作者而言，把OnlyFans帳號與一個已驗證的Instagram連起來，就推倒了支撐其生意的那道區隔。

OnlyFans表示，這一切都沒有發生。「這些報導並非事實」，公司發言人對最早報導此一掛牌的資安媒體說。數字本身就引人生疑：3.4億接近全部註冊使用者，正是那種在真正入侵中很少能留下的整數。而反對入侵一說最有力的證據，來自賣家本人。被聯繫到時，他承認資料從未取自OnlyFans。他是把Twitter、Instagram、Spotify等其他平台的舊外洩，與本就公開的個人檔案資訊交叉拼接而成。這是一次彙整，而非一次入侵。

這個區別就是全部故事，而地下市場正是靠模糊它來牟利。真正的外洩會帶出大眾從未掌握的資料；彙整只是把別處早已外洩的資料重新排列，再貼上一個新鮮而嚇人的招牌。「OnlyFans」在論壇上賣得動，而「一份用五年前Twitter記錄拼成的名單」永遠賣不動。隔一陣子就冒出來、號稱數十億帳號的WhatsApp或Gmail「駭客事件」，運作方式如出一轍，幾乎總是被查出是回收的登入名單。

可這些都不能讓這份檔案變得無害。這裡的武器是關聯，而不是新鮮。一個在某處本已公開的姓名，和一個在別處外洩的電子郵件，各自看分量都不大；一旦連到某個OnlyFans帳號，它們就成了一張地圖，從一個人的日常身分直通他的成人內容帳號。這張地圖，正是那些引用真實細節以顯得可信的性勒索訊息的原料，是瞄準創作者收款帳戶的釣魚的原料，也是許多人本就遭受的跟蹤與冒名的原料——如今攻擊者連分類的功夫都省了。

任何曾經把Instagram或X帳號連到OnlyFans個人檔案的人，無論是粉絲還是創作者、身處哪個市場，最穩妥的做法都是假定：這種關聯已經可被找到，如今或許已被打包出售。專家的建議並不花俏：凡是看似「知道」你OnlyFans活動的訊息，都當作施壓手段而非證據；勒索的錢一分都別付；開啟兩步驟驗證，好讓僅憑一個外洩的密碼打不開帳號。掛牌仍在，研究者正在抽樣核對，衡量其中有多少是真實的、回收的，或純屬捏造——價格真正取決於的，只有這一個問題。只要論壇上一個響亮的名字比它背後的資料更值錢，下一場「大外洩」就已經在用前十場的殘骸拼裝。