Один сервер — и весь мир на ладони: пароли Apple, Google и правительств слиты в сеть

В начале мая специалист по информационной безопасности Джеремайя Фаулер обнаружил одну из самых масштабных и тревожных утечек пользовательских данных за последние годы. На открытом сервере Elastic, не защищённом паролем и не зашифрованном, находилась база данных объёмом 47,42 гигабайта. В ней содержались 184 162 718 уникальных записей, включающих логины, пароли, email-адреса и прямые ссылки на страницы авторизации для множества цифровых сервисов — от развлекательных платформ до государственных порталов.

Особую опасность представлял тот факт, что все данные были размещены в открытом виде: без шифрования и каких-либо мер защиты. В выборке из 10 тысяч записей Фаулер обнаружил логины к сервисам Google, Facebook*, Microsoft, Netflix, Apple, PayPal, Discord, Instagram*, Snapchat, Spotify, Roblox, WordPress, Yahoo, Nintendo, Amazon, а также учётные данные к финансовым учреждениям, криптокошелькам, медицинским платформам и государственным системам из десятков стран. В некоторых записях пароли были указаны в поле под названием «Senha» — португальское слово, что может указывать на регион распространения вредоносного ПО, собравшего эту информацию.

В дополнение к личным аккаунтам, в базе присутствовали данные с 220 адресами на домене .gov, представляющими 29 стран, включая США, Канаду, Индию, Австралию, Израиль, Китай, Румынию, Бразилию и Иран. По оценке Фаулера, утечка затронула как минимум бизнес-платформы, корпоративные сети и государственные учреждения, что делает инцидент потенциальной угрозой не только частной, но и национальной безопасности.

Характер собранных данных указывает на то, что база могла быть результатом деятельности инфостилеров. Такие программы собирают чувствительную информацию с заражённых устройств, включая логины, пароли, куки, автозаполнения браузеров, переписки из мессенджеров и даже скриншоты и нажатия клавиш. Распространение таких вредоносов осуществляется через фишинговые письма, заражённые сайты и взломанное программное обеспечение. После заражения устройства данные попадают в базы, которые затем либо продаются на теневых форумах и в Telegram-каналах, либо используются напрямую для атак.

Фаулер отметил, что IP-адрес сервера был связан с двумя доменами. Один из них оказался незарегистрированным, а другой — припаркованным, без активного контента. Whois-информация была скрыта, а владелец базы не установлен. После обнаружения утечки исследователь немедленно направил уведомление хостинг-провайдеру — World Host Group. Доступ к базе был оперативно закрыт, однако компания отказалась раскрыть данные о клиенте, разместившем её.

Исследователь попытался связаться с владельцами некоторых email-адресов, присутствующих в базе, и получил подтверждение: часть паролей оказалась действительно действительной, а аккаунты — активными. Это означает, что информация не только актуальна, но и представляет прямую угрозу для её владельцев. Фаулер подчёркивает, что он не скачивал базу и ограничился минимальными скриншотами в целях верификации.

Последствия такого рода утечек могут быть колоссальными. Наиболее типичными сценариями злоупотребления такими базами являются:

• Атаки методом подбора (credential stuffing) — автоматизированный перебор логинов и паролей на множестве сайтов. Из-за того, что пользователи часто повторно используют одни и те же пароли, это может привести к компрометации большого числа аккаунтов.

• Захват учётных записей (ATO) — если на аккаунте не включена двухфакторная аутентификация, злоумышленник может получить полный доступ, а затем использовать его для мошенничества, кражи личности или атак на контакты жертвы.

• Корпоративный шпионаж — утечка рабочих аккаунтов открывает путь к инфраструктуре компаний, включая внутренние документы, стратегические планы, финансовую отчётность и внутренние переписки.

• Государственная безопасность — попадание в базу данных учётных записей с государственным доступом может представлять опасность, если эти аккаунты имели доступ к защищённым системам.

• Фишинг и социальная инженерия — даже устаревшие пароли, в сочетании с действующими email-адресами, могут использоваться для создания правдоподобных фишинговых писем, способных ввести в заблуждение получателя и спровоцировать на раскрытие новых данных.

Исходя из всего вышеописанного, Фаулер призывает к пересмотру личных практик безопасности. Среди рекомендаций:

— использовать уникальные и сложные пароли для каждого сервиса;
— включить двухфакторную аутентификацию, особенно для критичных сервисов;
— регулярно обновлять пароли, хотя бы раз в год;
— проверять email на наличие утечек через сервисы вроде Have I Been Pwned ;
— следить за уведомлениями о входе и активности в аккаунтах;
— использовать менеджеры паролей — с пониманием рисков, как показал инцидент с LastPass в 2022 году;
— установить и обновлять антивирус , проводить полное сканирование системы;
— для продвинутых пользователей — использовать EDR -решения для мониторинга системной активности и сетевого трафика.

Фаулер также подчёркивает юридический аспект: хранение и распространение украденных персональных данных может считаться преступлением в разных юрисдикциях. В США действует закон CFAA, в ЕС — GDPR. Все действия исследователя были выполнены в рамках этичного подхода, без скачивания данных и с немедленным уведомлением соответствующих сторон. Его задача — повышение осведомлённости об уязвимостях и стимул для компаний и пользователей усиливать защиту своих цифровых данных.