3.4亿OnlyFans记录被挂牌出售，但并没有人黑进OnlyFans

一份被宣称为3.4亿OnlyFans用户个人记录的数据，正在一个知名的泄露论坛上挂牌出售，标价还不到一枚比特币。卖家承诺提供电子邮箱、电话号码、真实姓名、支付卡的后四位，以及在这类平台上分量最重的一项：与每个资料绑定的社交媒体账号。

换作几乎任何别的服务，这只是寻常的隐私问题。在OnlyFans上，它更为锋利。平台与用户之间的全部关系，都建立在一道墙上：把一个人的法律身份，与他在付费墙后面所做的事隔开。一份把真实姓名和电话号码连到某个OnlyFans账号的文件，正是为推倒这道墙而造的工具；无论真假，它面向的就是想要这一点的买家。

卖家称每个账号对应一条记录：标识符、用户名、全名、注册日期、邮箱、电话、粉丝数与点赞数、发布内容的数量、标明该账号属于粉丝还是创作者的标记，以及指向其他网络资料页的链接。他为整批开价0.313比特币，约合七万六千美元。这样卖出来，它不像一张表格，更像一份目标清单。绑定资料这一栏，正是把数据库变成武器的地方：对创作者而言，把OnlyFans账号与一个已认证的Instagram连起来，就推倒了支撑其生意的那道分隔。

OnlyFans表示，这一切都没有发生。「这些报道不属实」，公司发言人对最早报道该挂牌的安全媒体说。数字本身就引人生疑：3.4亿接近全部注册用户，正是那种在真正的入侵中很少能留下的整数。而反对入侵一说最有力的证据，来自卖家本人。被联系到时，他承认数据从未取自OnlyFans。他是把Twitter、Instagram、Spotify等其他平台的旧泄露，与本就公开的资料信息交叉拼接而成。这是一次汇编，而非一次入侵。

这个区别就是全部故事，而地下市场正是靠模糊它来牟利。真正的泄露会带出公众从未掌握的数据；汇编只是把别处早已泄露的数据重新排列，再贴上一个新鲜而吓人的牌子。「OnlyFans」在论坛上卖得动，而「一份用五年前Twitter记录拼成的名单」永远卖不动。隔一阵子就冒出来的所谓数十亿账号的WhatsApp或Gmail「黑客事件」，运作方式如出一辙，几乎总是被查出是回收的登录名单。

可这些都不能让这份文件变得无害。这里的武器是关联，而不是新鲜。一个在某处本已公开的姓名，和一个在别处泄露的邮箱，各自看分量都不大；一旦连到某个OnlyFans账号，它们就成了一张地图，从一个人的日常身份直通他的成人内容账号。这张地图，正是那些引用真实细节以显得可信的性勒索信息的原料，是瞄准创作者收款账户的钓鱼的原料，也是许多人本就遭受的跟踪与冒名的原料——如今攻击者连分拣的功夫都省了。

任何曾经把Instagram或X账号连到OnlyFans资料的人，无论是粉丝还是创作者、身处哪个市场，最稳妥的做法都是假定：这种关联已经可被找到，如今或许已被打包出售。专家的建议并不花哨：凡是看似「知道」你OnlyFans活动的消息，都当作施压手段而非证据；勒索的钱一分都别付；开启两步验证，好让仅凭一个泄露的密码打不开账号。挂牌仍在，研究者正在抽样核对，衡量其中有多少是真实的、回收的，或纯属编造——价格真正取决于的，只有这一个问题。只要论坛上一个响亮的名字比它背后的数据更值钱，下一场「大泄露」就已经在用前十场的残骸拼装。