LONDON, 2026. január 24., 12:01 (GMT)
- Jeremiah Fowler kutató 149 404 754 egyedi bejelentkezési nevet és jelszót fedezett fel egy nem biztonságos online adatbázisban, amelyet később offline állapotba helyeztek.
- A tárolt adatok között körülbelül 48 millió Gmail-hitelesítő adat volt, valamint közösségi média, streaming szolgáltatások, kriptofiókok és néhány kormányzati domainhez tartozó bejelentkezések.
- Elemzők arra figyelmeztettek, hogy az olcsó „infostealer” (információtolvaj) kártevőszolgáltatások automatizálhatják a fiókátvételeket az ilyen típusú adatok felhasználásával.
Egy nyílt online adatbázist, amely körülbelül 149 millió ellopott felhasználónevet és jelszót tartalmazott — ebből mintegy 48 millió Gmail-fiókhoz kapcsolódott —, lekapcsoltak, miután egy kutató értesítette a szolgáltatót, számolt be róla Jeremiah Fowler kiberbiztonsági szakértő. Fowler megjegyezte, hogy a 96 gigabájtos adathalmaz „nem volt jelszóval védett vagy titkosított.” (ExpressVPN)
Ez a felfedezés azért jelentős, mert az ilyen gyűjtemények közvetlenül táplálják a hitelesítő adatokkal való visszaélést (credential stuffing) — automatizált támadásokat, amelyek ellopott jelszavakat próbálnak ki népszerű oldalakon —, és pontosabb adathalász kampányokat tesznek lehetővé, különösen, ha az adatok közvetlen bejelentkezési URL-eket is tartalmaznak.
Ez egy olyan időszakban történik, amikor az infostealer kártevők — olyan rosszindulatú szoftverek, amelyek hitelesítő adatokat lopnak fertőzött eszközökről — elszigetelt támadásokból folyamatos bűncselekményforrássá váltak.
Fowler a WIRED-nek adott interjúban „bűnözők álomlistájaként” jellemezte az adathalmazt. Allan Liska, a Recorded Future fenyegetéselemzője rámutatott, hogy az infostealerek „nagyon alacsony belépési küszöböt” kínálnak, és megemlítette, hogy a csúcskategóriás infrastruktúra bérlése általában havi 200–300 dollárba kerül. (WIRED)
A TechRepublic feltárta, hogy a kiszivárgott naplók nem csupán egy alapvető jelszólistát tartalmaztak. E-mail címeket, felhasználóneveket és közvetlen linkeket is, amelyekkel ezeket a hitelesítő adatokat azonnal ki lehetett próbálni az adott oldalakon. Ez a felállás megkönnyíti a támadók számára, hogy gyorsan automatizálják a fiókátvételeket, mielőtt a felhasználók jelszót váltanának, vagy a platformok deaktiválnák a kompromittált fiókokat. (TechRepublic)
Fowler megjegyezte, hogy az általa vizsgált rekordok mindent lefedtek a közösségi médiától és streaming platformoktól a társkereső alkalmazásokig, valamint pénzügyi fiókokat, például banki és kriptokereskedési bejelentkezéseket is tartalmaztak, mindezt egy korlátozott mintában.
Azt is kiemelte, hogy kormányzati „.gov” domainekhez kapcsolódó hitelesítő adatokat is talált, amelyeket személyazonosság-lopásra vagy — a hozzáférési szinttől függően — nagyobb szabású betörésekhez is felhasználhatnak.
Elmondta, hogy az adatbázisban nem voltak tulajdonosi adatok, és közel egy hónapig többszöri próbálkozásra volt szükség, mire végül leállították a tárhelyet.
Fowler megjegyezte, hogy a rekordok száma nőtt attól a pillanattól kezdve, hogy felfedezte az adatokat, egészen addig, amíg le nem kapcsolták, ami növelte annak kockázatát, hogy mások is lemásolhatták az adathalmazt ebben az időszakban.
A Security Magazine beszámolója szerint a tárolt adatok között nagyjából 48 millió Gmail-fiók, 4 millió Yahoo-bejelentkezés és 1,5 millió Microsoft Outlook-fiók szerepelt, valamint több millió, közösségi média- és streaming platformokhoz kapcsolódó adat. Shane Barney, a Keeper Security információbiztonsági vezetője megjegyezte: „Ez nem hagyományos értelemben vett adatszivárgás.” (Securitymagazine)
Az SC Media kiemelte, hogy az adatbázis eltért a Fowler által korábban vizsgált infostealer dumpoktól, mivel extra mezőket tartalmazott, például visszafordított hosztnevet és minden rekordhoz egyedi sor hash-t. „Az ilyen infostealer incidensek nem csak elszigetelt fiókokat szivárogtatnak ki,” mondta Boris Cipot, a Black Duck vezető biztonsági mérnöke az SC Media-nak küldött e-mailben. (SC Media)
Egy ismeretlen tényező: a kiszivárgott hitelesítő adatok között lehetnek elavultak és aktuálisak is, és sok már érvénytelen lehet, ha a felhasználók megváltoztatták a jelszavukat, vagy a szolgáltatók kényszerítették a visszaállítást. Ennek ellenére, ha a rosszindulatú program továbbra is a készüléken van, a jelszócsere csak ideiglenes megoldást jelenthet, mivel a következő bejelentkezést ismét elfoghatják.
A biztonsági szakértők általában javasolják a kétfaktoros hitelesítés bekapcsolását—egy plusz bejelentkezési lépést, például kódot vagy alkalmazásértesítést—, valamint a jelszó-újrahasználat elkerülését. Vállalati oldalon sokan figyelik az automatizált bejelentkezések hirtelen megugrását, és blokkolják a gyanús próbálkozásokat, bár ezek a védelmek szolgáltatásonként jelentősen eltérhetnek.
Egy nyilvános adatbázis példány eltávolítása csak kis győzelem—az ilyen hitelesítő adathalmazok gyorsan terjednek, miután napvilágra kerülnek. A szervezetek számára a figyelmeztetés változatlan: a lopott jelszavak továbbra is komoly gyenge pontot jelentenek, és az őket szállító források áramlása nem mutat lassulást.
