Всё ещё не настроили двухфакторную аутентификацию? Вот аргумент, который убедит вас поторопиться

Открытая панель управления, доступная без пароля, превратила чужую скрытую операцию в наглядную витрину. Через один сервер в Германии специалисты смогли в реальном времени наблюдать, как ботнет перебирает логины и пароли к аккаунтам X, показывает статистику взломов и хранит в открытом виде root-пароли от всей рабочей инфраструктуры.

Специалисты Breakglass Intelligence сообщили, что обнаружили незащищённую управляющую панель Twitter Checker Master Panel — FULL FIX v2.3 на сервере 144[.]76[.]57[.]92:5000. Панель работала без какой-либо авторизации и открывала полный доступ к операции по подбору учётных данных. Через интерфейс можно было просматривать список серверов, загружать базы логинов и паролей, запускать и останавливать проверку, а также выгружать результаты с уже скомпрометированными учётными записями.

За 12 минут наблюдения 10 апреля 2026 года система успела проверить 722 763 пары логин-пароль и получить доступ ещё к 18 аккаунтам. Общая статистика панели показывала более 4,8 миллиона проверенных записей и 138 подтверждённых захватов. Авторы отчёта подчёркивают, что почти 85,6 процента аккаунтов упирались в двухфакторную аутентификацию, которую ботнет обойти не смог. Фактически операция отсеивала защищённые профили и охотилась только за теми, где остался один пароль.

Внутри панели находились 18 рабочих серверов с root-доступом по SSH, причём все пароли хранились в открытом виде. Узлы размещались в одной подсети 31[.]58[.]245[.]0/24, связанной с турецким провайдером Komuta Savunma Yuksek Teknoloji Limited Sirketi в Анкаре. Интерфейс панели тоже был полностью на турецком языке, а имена серверов начинались со слова Sunucu, что дополнительно указывает на турецкоязычного оператора или группу, тесно связанную с Турцией.

По данным Breakglass Intelligence, инфраструктуру разворачивали волнами с конца декабря 2025 года по конец января 2026-го, а массовую установку проверочного ПО провели 24 февраля. Сам управляющий сервер размещался у Hetzner и, помимо панели на порту 5000, держал открытыми RDP, SMB и WinRM. Следов обнаружения на крупных площадках обмена индикаторами компрометации на момент публикации почти не было: VirusTotal, ThreatFox, URLhaus и AbuseIPDB не фиксировали активность этой сети.

История примечательна не только масштабом, но и простотой схемы. Речь не идёт о сложной уязвимости или редкой атаке. Операторы использовали старый метод подбора паролей на утёкших связках логинов, а главным барьером для ботнета оказалась обычная двухфакторная защита.

На практике это расследование стало ещё одним напоминанием, что повторное использование паролей и отказ от 2FA по-прежнему оставляют пользователям слишком много шансов оказаться в чужой статистике.