Раскрыта структура 16-миллиардной утечки: 30 баз, крупнейшая — португальская, среди них — российская и Telegram

Исследователи из Cybernews раскрыли дополнительные подробности о масштабной утечке, в рамках которой были скомпрометированы данные порядка 16 миллиардов учётных записей. Эта история, впервые опубликованная несколько дней назад, получила новый виток развития: специалисты продолжают анализировать массив утекшей информации и предупреждают об угрожающих последствиях.

По данным исследователей, утечка данных представляет собой не одну, а сразу тридцать разрозненных баз данных, каждая из которых содержит от десятков миллионов до нескольких миллиардов записей. Самая крупная из них насчитывает более 3,5 миллиарда строк и, вероятно, связана с португалоязычным сегментом интернета. В среднем одна база содержит около 550 миллионов записей. Многие из них перекрываются, но в совокупности речь идёт о беспрецедентном по масштабу массиве информации, большая часть которого ранее нигде не публиковалась.

Утекшие данные преимущественно были собраны с помощью инфостилеров — вредоносных программ, которые крадут логины, пароли, токены сессий, куки и другую чувствительную информацию. Примеры утекших данных указывают на широкий спектр платформ: от Google, Apple и Facebook до Telegram, Zoom, Twitch и государственных сервисов. В логах часто встречается структура из URL, логина и пароля — именно так обычно работают современные стилеры.

Исследователь Bob Diachenko, принимавший участие в анализе, подчёркивает: ни одна из компаний вроде Google или Facebook не подвергалась централизованной атаке, однако логины к их страницам авторизации всё равно оказались в утёкших базах. Это означает, что жертвами утечки стали пользователи, чьи данные были похищены на уровне конечных устройств — заражённых стилерами.

Особую тревогу вызывает свежесть записей. Исследователи подчёркивают, что это не «археология» прошлых лет, а актуальные логи, собранные за последние месяцы. Их появление указывает на высокую активность инфостилеров в дикой среде. Более того, новые гигантские базы всплывают каждые несколько недель, что говорит о нарастающем тренде агрегации и монетизации данных.

Многие из баз были доступны через неправильно настроенные экземпляры Elasticsearch или публичные облачные хранилища. Это позволило исследователям быстро зафиксировать факт утечки, но не дало возможности установить, кто именно стоит за их публикацией. Предположительно, часть массивов могла быть собрана исследователями или компаниями, занимающимися мониторингом угроз, однако не исключается, что значительная часть принадлежит преступным группировкам.

Как отмечает исследователь Aras Nazarovas, наблюдается заметный сдвиг в поведении киберпреступников. Если ранее они активно распространяли логи через Telegram-каналы, то теперь всё чаще используют централизованные структуры с более стабильным доступом к данным. Это усложняет защиту, особенно в организациях, где не внедрены многофакторная аутентификация и регулярные процедуры смены паролей.

Некоторые базы по названиям явно отсылают к географическому или сервисному происхождению. Например, обнаружена база, указывающая на российскую федерацию, другая — с упоминанием Telegram. Однако назвать владельцев или авторов этих данных по одному названию нельзя — это может быть как обманка, так и косвенная улика.

Особенно опасны те логи, которые содержат не только логины и пароли, но и активные токены и куки. Многие сервисы не сбрасывают куки даже после смены пароля, что позволяет атакующим сохранять доступ. В таких случаях простая смена пароля может оказаться недостаточной. Исследователи советуют проверять системы на наличие следов инфостилеров, сбрасывать активные сессии и включать двухфакторную аутентификацию на всех возможных платформах.

Новый виток утечки под названием «GOAT» (Greatest Of All Time) вызвал волну интереса, но вместе с тем и путаницу. Некоторые СМИ ошибочно заявили о «взломе Google, Facebook и Apple», что не соответствует действительности. Речь идёт не о прямых атаках на инфраструктуру компаний, а об огромном количестве похищенных учётных данных пользователей, связанных с этими сервисами.

В качестве подтверждения Cybernews опубликовали скриншоты, на которых видны адреса авторизации и учётные данные от крупнейших онлайн-платформ. Все они были обнаружены в открытых базах данных, ранее не фиксировавшихся в публичных отчётах.

Авторы исследования подчёркивают: масштаб утечки и её последствия пока невозможно полностью оценить. Даже если процент рабочих логинов невелик, при объёме в 16 миллиардов записей речь может идти о десятках миллионов скомпрометированных аккаунтов. Чтобы снизить риски, эксперты советуют использовать менеджеры паролей , активировать двухфакторную аутентификацию и регулярно менять пароли. Учитывая, что это только одна волна, а новые базы продолжают появляться, ситуация может оказаться гораздо хуже, чем кажется на первый взгляд.