NEW YORK, 2026. január 25., 08:27 EST
- Egy kutató egy nem biztonságos adatbázist jelzett, amely körülbelül 149 millió felhasználónév-jelszó párost tartalmazott, ami az adatbázis eltávolításához vezetett az internetről
- A gyűjtemény több tízmillió Gmail- és Facebook-bejelentkezést tartalmazott, valamint banki, streaming és kriptofiókokat
- A kutatók a tárolt adatokat „infostealer” (információtolvaj) kártevőhöz kötötték, nem pedig egyetlen nagy platform feltöréséhez
Egy nem biztonságos adatbázist, amely körülbelül 149 millió felhasználónevet és jelszót tartalmazott — köztük 48 millió Gmailhez és 17 millió Facebookhoz köthetőt —, levettek az internetről, miután egy biztonsági kutató értesítette a tárhelyszolgáltatót, a jelentések szerint. Allan Liska, a Recorded Future fenyegetéselemzője megjegyezte, hogy „az infostealerek nagyon alacsony belépési küszöböt teremtenek az új bűnözők számára”, utalva azokra az eszközökre, amelyeket már néhány száz dollárért is lehet bérelni havonta. (WIRED)
Ez a kiszivárgás komoly, mivel az ilyen jelszólisták lehetővé teszik a hackerek számára, hogy átvegyék az e-mail- és közösségi médiafiókokat — amelyek más platformokon lévő hitelesítő adatok visszaállításának kapui. Ezek továbbá táplálják az adathalász támadásokat is, amikor csalók bankokat, kollégákat vagy ügyfélszolgálatot megszemélyesítve próbálnak további információkat ellopni.
A kutatók a tárolt adatokat „infostealer” kártevőhöz vezették vissza — ez egy olyan rosszindulatú szoftver, amely titokban szerzi meg a hitelesítő adatokat a fertőzött eszközökről, gyakran billentyűleütések rögzítésével. Ez arra utal, hogy széles körű, kaotikus lopás zajlik közvetlenül az eszközökön, nem pedig egyetlen cég szerverének célzott feltörése.
Jeremiah Fowler az ExpressVPN számára arról számolt be, hogy az adatbázis sem jelszóval, sem titkosítással nem volt védve, és 149 404 754 egyedi bejelentkezési adatot tartalmazott — körülbelül 96 gigabájtnyi feldolgozatlan adatot. Megjegyezte, hogy a minták között e-mailek, felhasználónevek, jelszavak és a pontos URL-ek is szerepeltek, ahol a bejelentkezések történtek, ami felgyorsíthatja az automatizált támadásokat. (ExpressVPN)
A kiszivárgott adathalmaz széles körű fogyasztói szolgáltatásokat fedett le, mint például az Instagram, Netflix, TikTok, Yahoo, Outlook és iCloud, valamint pénzügyi fiókokat és kriptoplatformokat is — jelentette a TechRepublic. Fowler arra figyelmeztetett, hogy a kormányzati e-mail domainekhez köthető hitelesítő adatok lehetővé tehetik a „célzott spear-phishinget, megszemélyesítést vagy belépési pontként szolgálhatnak kormányzati hálózatokhoz”. (TechRepublic)
A People.com Fowler jelentésére hivatkozva elismerte, hogy nem tudta önállóan megerősíteni a megállapításokat, és rámutatott, hogy a bűnözők gyakran hagynak hatalmas adathalmazokat védtelenül a gyorsaság és a méret miatt. Fowler arra figyelmeztetett, hogy a hitelesítő adatok és a bejelentkezési linkek kombinációja „drasztikusan növeli a csalás, a lehetséges személyazonosság-lopás, pénzügyi bűncselekmények és adathalász kampányok valószínűségét”. (People)
Alig tudni valamit arról, hogy ki állította össze az adatbázist, vagy hogy mennyi ideig maradt nyilvánosan elérhető, számolt be róla a TechRadar. Majdnem egy hónapba telt, mire sikerült eltávolítani, miután a tárhelyszolgáltató kezdetben egy önállóan eljáró leányvállalatra hárította a felelősséget. A portál megjegyezte, hogy az adatok úgy tűntek, mintha indexelve lennének a könnyebb kereshetőség érdekében, ami arra utal, hogy valószínűleg újrafelhasználás céljából hozták létre, nem pedig véletlenül hagyták kint. (TechRadar) De ezek a főcímekben szereplő számok félrevezetőek lehetnek. Fowler elismerte, hogy nem tudta pontosan meghatározni, ki üzemelteti a szervert, és továbbra sem ismert, hány hitelesítő adat aktuális, hány származik aktív fiókokból, vagy mennyi volt már korábban is elérhető. Az adathalmaz önmagában nem bizonyítja, hogy a Google-t, a Metát vagy bármely más megnevezett céget közvetlenül feltörték volna. Az infostealer-alapú adatok általában feltört eszközökről származnak, mielőtt összegyűjtik, továbbértékesítik, újra közzéteszik, és régebbi szivárgásokkal keverik őket. Fowler azt tanácsolta a felhasználóknak, hogy ellenőrizzék fióktevékenységüket, erősítsék meg biztonsági beállításaikat, és kerüljék el a jelszavak újrahasznosítását több oldalon, jelentése és a kapcsolódó tudósítások szerint. A biztonsági szakértők gyakran javasolják a kétfaktoros hitelesítést—egy tartalék védelmi réteget, amely egy kódot vagy biometrikus azonosítást igényel—ha a jelszavak veszélybe kerülnek. A vállalatok és közintézmények számára a fenyegetés túlmutat a fogyasztói csalásokon. Az alkalmazotti e-mail bejelentkezések, valamint a “.edu” vagy “.gov” végződésű hitelesítő adatok segíthetik a támadókat abban, hogy hihetőbb adathalász kísérleteket hozzanak létre, vagy akár belső rendszerekhez is hozzáférjenek, ha a jelszavakat újrahasznosítják. Egy adatbázis eltávolítása nem szünteti meg a következményeket. A másolatok gyorsan terjedhetnek, és az ellopott bejelentkezési adatok piaca folyamatosan működik — állandó forrást jelentve azoknak a csalásoknak, amelyek inkább friss hitelesítő adatokra és türelemre, mintsem bonyolultságra támaszkodnak.
