NOWY JORK, 25 stycznia 2026, 08:27 EST
- Badacz zgłosił niezabezpieczoną bazę danych zawierającą około 149 milionów par nazwa użytkownika-hasło, co doprowadziło do jej usunięcia z sieci
- Zbiór zawierał dziesiątki milionów loginów do Gmaila i Facebooka, a także kont bankowych, streamingowych i kryptowalutowych
- Badacze powiązali zbiór z malware typu „infostealer”, a nie z włamaniem do jednej dużej platformy
Niezabezpieczona baza danych zawierająca około 149 milionów nazw użytkowników i haseł — w tym 48 milionów powiązanych z Gmailem i 17 milionów z Facebookiem — została usunięta z sieci po tym, jak badacz ds. bezpieczeństwa powiadomił dostawcę hostingu, według doniesień. Allan Liska, analityk ds. wywiadu o zagrożeniach w Recorded Future, zauważył, że „infostealery tworzą bardzo niską barierę wejścia dla nowych przestępców”, wskazując na narzędzia dostępne do wynajęcia za zaledwie kilkaset dolarów miesięcznie. (WIRED)
To ujawnienie jest poważne, ponieważ takie listy haseł umożliwiają hakerom przejmowanie kont e-mail i mediów społecznościowych — bram do resetowania danych logowania na innych platformach. Zasilają one także ataki phishingowe, w których oszuści podszywają się pod banki, współpracowników lub zespoły wsparcia, aby wyłudzić dodatkowe informacje.
Badacze powiązali zbiór z malware typu „infostealer” — rodzajem złośliwego oprogramowania zaprojektowanego do potajemnego przechwytywania danych logowania z zainfekowanych urządzeń, często poprzez rejestrowanie naciśnięć klawiszy. Sugeruje to szeroko zakrojoną, chaotyczną kradzież bezpośrednio na urządzeniach, a nie ukierunkowane włamanie do serwerów jednej firmy.
Jeremiah Fowler poinformował dla ExpressVPN, że baza danych nie miała ani ochrony hasłem, ani szyfrowania, zawierając 149 404 754 unikalnych danych logowania — około 96 gigabajtów nieprzetworzonych danych. Zaznaczył, że próbki obejmowały e-maile, nazwy użytkowników, hasła oraz dokładne adresy URL, na których dokonano logowania, co może przyspieszyć zautomatyzowane ataki. (ExpressVPN)
Wykradziony zbiór obejmował szeroki zakres usług konsumenckich, takich jak Instagram, Netflix, TikTok, Yahoo, Outlook i iCloud, a także konta finansowe i platformy kryptowalutowe, jak podał TechRepublic. Fowler ostrzegł, że dane logowania powiązane z rządowymi domenami e-mail mogą umożliwić „ukierunkowany spear-phishing, podszywanie się lub stanowić punkt wejścia do sieci rządowych”. (TechRepublic)
People.com, powołując się na raport Fowlera, przyznał, że nie mógł samodzielnie potwierdzić ustaleń i zwrócił uwagę, że przestępcy często pozostawiają ogromne zbiory danych niezabezpieczone w pośpiechu, by działać szybko i na dużą skalę. Fowler ostrzegł, że połączenie danych logowania i linków do logowania „dramatycznie zwiększa prawdopodobieństwo oszustw, potencjalnej kradzieży tożsamości, przestępstw finansowych i kampanii phishingowych”. (People)
Prawie nic nie wiadomo o tym, kto stworzył tę bazę danych ani jak długo była ona dostępna, poinformował TechRadar. Usunięcie jej zajęło prawie miesiąc po tym, jak dostawca hostingu początkowo obwinił działającą samodzielnie spółkę zależną. Serwis zauważył, że dane wydawały się zindeksowane dla łatwiejszego wyszukiwania, co sugeruje, że prawdopodobnie zostały zbudowane z myślą o ponownym wykorzystaniu, a nie po prostu pozostawione przez pomyłkę. (TechRadar)
Ale te nagłówkowe liczby mogą być mylące. Fowler przyznał, że nie ustalił, kto zarządza serwerem, i wciąż nie wiadomo, ile poświadczeń jest aktualnych, ile pochodzi z aktywnych kont, a ile już wcześniej wyciekło.
Sam zbiór danych nie dowodzi, że Google, Meta czy jakakolwiek inna wymieniona firma zostały bezpośrednio zhakowane. Dane pochodzące z infostealerów zwykle pochodzą ze zainfekowanych urządzeń, zanim zostaną zebrane, odsprzedane, ponownie opublikowane i połączone ze starszymi wyciekami.
Fowler zalecił użytkownikom sprawdzenie aktywności na kontach, wzmocnienie ustawień bezpieczeństwa i unikanie używania tych samych haseł na różnych stronach, zgodnie ze swoim raportem i powiązanymi publikacjami. Eksperci ds. bezpieczeństwa często zalecają uwierzytelnianie dwuskładnikowe — dodatkową warstwę zabezpieczeń w postaci kodu lub skanu biometrycznego — gdy hasła zostaną naruszone.
Dla firm i instytucji publicznych zagrożenie wykracza poza oszustwa konsumenckie. Loginy pracownicze oraz poświadczenia z końcówką „.edu” lub „.gov” mogą pomóc atakującym w tworzeniu bardziej wiarygodnych prób phishingu, a nawet uzyskaniu dostępu do systemów wewnętrznych, gdy hasła są używane ponownie.
Usunięcie bazy danych nie usuwa skutków. Kopie mogą szybko krążyć, a rynki skradzionych loginów wciąż działają — to stałe źródło oszustw, które opierają się bardziej na świeżych poświadczeniach i cierpliwości niż na złożoności.
