LONDYN, 24 stycznia 2026, 12:01 (GMT)
- Badacz Jeremiah Fowler odkrył 149 404 754 unikalnych loginów i haseł w niezabezpieczonej internetowej bazie danych, która później została wyłączona.
- Wśród danych znalazło się około 48 milionów danych logowania do Gmaila, a także loginy powiązane z mediami społecznościowymi, serwisami streamingowymi, kontami kryptowalutowymi oraz kilkoma domenami rządowymi.
- Analitycy ostrzegli, że tanie usługi złośliwego oprogramowania typu „infostealer” mogą automatyzować przejmowanie kont przy użyciu takich danych.
Otwarta internetowa baza danych zawierająca około 149 milionów skradzionych nazw użytkowników i haseł — z czego około 48 milionów powiązanych z kontami Gmail — została usunięta po tym, jak badacz powiadomił jej dostawcę, poinformował ekspert ds. cyberbezpieczeństwa Jeremiah Fowler. Fowler zauważył, że zrzut o wielkości 96 gigabajtów „nie był chroniony hasłem ani zaszyfrowany”. (ExpressVPN)
To odkrycie jest istotne, ponieważ takie zbiory bezpośrednio zasilają ataki typu credential stuffing — zautomatyzowane próby użycia skradzionych haseł na różnych popularnych stronach — oraz umożliwiają bardziej precyzyjne kampanie phishingowe, zwłaszcza gdy dane zawierają bezpośrednie adresy URL do logowania.
Dzieje się to w czasie, gdy złośliwe oprogramowanie typu infostealer — złośliwe oprogramowanie wykradające dane logowania z zainfekowanych urządzeń — przeszło od pojedynczych ataków do stałego źródła przestępczości.
Fowler określił tę bazę jako „listę marzeń dla przestępców” podczas wywiadu dla WIRED. Allan Liska, analityk ds. wywiadu o zagrożeniach w Recorded Future, zauważył, że infostealery oferują „bardzo niski próg wejścia” i wspomniał, że wynajem infrastruktury najwyższej klasy zwykle kosztuje od 200 do 300 dolarów miesięcznie. (WIRED)
TechRepublic ujawnił, że ujawnione logi zawierały więcej niż tylko podstawową listę haseł. Zawierały adresy e-mail, nazwy użytkowników oraz bezpośrednie linki do stron, na których można było testować te dane logowania. Takie rozwiązanie ułatwia atakującym szybkie zautomatyzowanie przejęcia kont, zanim użytkownicy zaktualizują swoje hasła lub platformy dezaktywują naruszone konta. (TechRepublic)
Fowler zauważył, że analizowane przez niego rekordy obejmowały wszystko — od mediów społecznościowych i platform streamingowych po aplikacje randkowe, a także konta finansowe, takie jak loginy do bankowości i handlu kryptowalutami, wszystko w ramach ograniczonej próbki.
Wskazał również na dane logowania powiązane z rządowymi domenami „.gov”, które mogą zostać wykorzystane do podszywania się lub posłużyć jako furtka do większych naruszeń, w zależności od poziomu dostępu tych kont.
Powiedział, że baza danych nie zawierała żadnych informacji o właścicielu, a jej wyłączenie zajęło kilka prób przez prawie miesiąc.
Fowler zauważył, że liczba rekordów wzrosła od momentu, gdy znalazł dane, do czasu ich usunięcia, co zwiększyło ryzyko, że inni mogli skopiować te zasoby w tym czasie.
Magazyn Security poinformował, że pamięć podręczna zawierała około 48 milionów kont Gmail, 4 miliony loginów Yahoo i 1,5 miliona do Microsoft Outlook, a także miliony powiązane z mediami społecznościowymi i platformami streamingowymi. Shane Barney, dyrektor ds. bezpieczeństwa informacji w Keeper Security, zauważył: „To nie jest naruszenie w tradycyjnym sensie.” (Securitymagazine)
SC Media zauważyło, że baza danych wyróżniała się na tle wcześniejszych zrzutów infostealerów, które Fowler analizował, zawierając dodatkowe pola, takie jak odwrócona nazwa hosta i unikalny hash linii dla każdego rekordu. „Naruszenia infostealerów, takie jak to, nie wyciekają tylko pojedynczych kont,” powiedział Boris Cipot, starszy inżynier ds. bezpieczeństwa w Black Duck, w e-mailu do SC Media. (SC Media)
Jedna niewiadoma: ujawnione dane uwierzytelniające mogą obejmować zarówno nieaktualne, jak i aktualne, a wiele z nich może już nie być ważnych, jeśli użytkownicy zmienili hasła lub dostawcy wymusili ich reset. Jednak jeśli złośliwe oprogramowanie nadal znajduje się na urządzeniu, zmiana hasła może dać tylko tymczasową ulgę, ponieważ kolejne logowanie może zostać ponownie przechwycone.
Eksperci ds. bezpieczeństwa zwykle zalecają włączenie uwierzytelniania dwuskładnikowego—dodatkowego kroku logowania, takiego jak kod lub powiadomienie w aplikacji—i unikanie ponownego używania haseł. Po stronie firm wiele z nich monitoruje nagłe wzrosty automatycznych logowań i blokuje podejrzane próby, choć te zabezpieczenia różnią się znacznie w zależności od usług.
Usunięcie jednej publicznej kopii bazy danych to tylko małe zwycięstwo—zrzuty danych uwierzytelniających zwykle szybko się rozprzestrzeniają po ich ujawnieniu. Dla organizacji ostrzeżenie pozostaje niezmienne: skradzione hasła nadal stanowią poważną słabość, a ich napływ nie wykazuje oznak słabnięcia.
