29.03.2026
1 хв
397
Дослідники виявили викриту базу даних, що містить 24 мільярди записів, включаючи імена користувачів, адреси електронної пошти, паролі у відкритому тексті та URL-адреси для входу. Дані, ймовірно, походять із журналів шкідливих програм-викрадачів інформації, записів, викрадених із заражених пристроїв та зібраних із каналів Telegram, компіляцій даних про порушення та інших джерел.
Дослідники виявили вразливий кластер Elasticsearch, що містив 24 мільярди записів та понад 8,3 ТБ даних.
Більшість записів, схоже, є журналами інформаційних крадіжок, включаючи імена користувачів, електронні адреси, паролі та URL-адреси для входу.
Дані надійшли з 36 джерел, включаючи канали Telegram, компіляції витоків та великі «колекції».
Поки що неможливо підтвердити, скільки записів є дублікатами або скільки унікальних людей постраждало.
База даних більше не є публічно доступною, але повторно використані паролі все ще можуть наражати облікові записи на небезпеку.
Хоча витоки даних, унаслідок яких мільйони записів стають доступними стороннім особам, уже стали звичним явищем, витік, що охоплює 24 мільярди записів із логінами та паролями, є безпрецедентним. Саме тому фахівцям довелося кілька разів перевіряти свої висновки після виявлення понад 8 терабайтів даних, що опинилися у відкритому доступі.
12 червня було виявлено, ймовірно, одну з найбільших баз даних, які будь-коли ставали публічно доступними. Дослідники вважають, що переважна більшість із 24 мільярдів записів є журналами програм-викрадачів інформації. Іншими словами, це викрадені імена користувачів, паролі та відомості про сервіси, до яких ці облікові дані могли надавати доступ.
«Витік облікових даних небезпечний просто через свій величезний розмір. З моменту потрапляння даних у відкритий доступ мільярди облікових записів опинилися під серйозною загрозою захоплення, особливо якщо вони не захищені багатофакторною автентифікацією», – пояснили дослідники.
Записи зберігалися у відкритому кластері Elasticsearch – групі взаємопов’язаних пошукових серверів. Загальний обсяг інформації перевищував 8,3 терабайта.
Майже всі викриті записи були журналами програм-викрадачів інформації – даними, зібраними шкідливим ПЗ, яке викрадає конфіденційну інформацію. За словами фахівців, журнали містили облікові дані у відкритому вигляді, включаючи адреси електронної пошти, імена користувачів та паролі.
Крім того, дослідники визначили URL-адреси, до яких могли надавати доступ викрадені облікові дані, а також джерела походження журналів. Розкриті дані надійшли з 36 різних джерел: від Telegram-каналів до об’єднаних колекцій попередніх витоків і наборів даних, експортованих безпосередньо з активних серверів.
Понад 1,7 мільярда записів, імовірно, походять із різних Telegram-каналів. Усі вони, схоже, були пов’язані з кіберзлочинною діяльністю та спеціалізувалися на викраденні облікових даних і поширенні витоків.
Більше ніж 30 із 36 джерел були Telegram-каналами. Обсяг даних у них варіювався від кількох тисяч до сотень мільйонів записів. Більшість каналів були англомовними, хоча деякі використовували російську мову.
З міркувань безпеки назви цих каналів не розголошуються. Водночас дослідники зазначають, що більшість даних, пов’язаних із Telegram, ймовірно, були отримані саме через канали, орієнтовані на хакерську діяльність.
Окрема категорія Telegram-каналів поширювала викрадені дані банківських карток. Один із каналів, за наявною інформацією, був повністю присвячений публікації таких даних.
Цікаво, що майже 260 мільйонів записів були пов’язані з джерелом під назвою «Darkside». Кілька років тому Darkside була однією з найактивніших груп операторів програм-вимагачів. Саме її пов’язують з атакою на трубопровід Colonial Pipeline, яка спричинила перебої з постачанням пального на східному узбережжі США.
Близько 22,6 мільярда записів нібито походять із джерела, позначеного як «колекції». Це можуть бути як великі архіви журналів інфостілерів, що раніше вже потрапляли в мережу, так і набори даних, згруповані за сервісами, до яких вони нібито надають доступ.
Оскільки база даних була закрита невдовзі після виявлення, фахівці не змогли детальніше дослідити походження цієї категорії записів.
Через це також не вдалося визначити, які саме сервіси були представлені у витоку. Проте з огляду на масштаби бази дуже ймовірно, що серед них були платформи з величезною кількістю користувачів.
Дослідники також виявили джерело зі 150 мільйонами записів під назвою «локальні дампи бази даних». Такі записи можуть свідчити про експорт інформації безпосередньо з активних серверів.
«Крім того, записи містили назви файлів, з яких вони були імпортовані. Загалом було виявлено щонайменше 195 різних назв файлів. Деякі з них вказували на зв’язок із колекцією AntiPublic та дозволяли визначити типи облікових записів, які вона містила», – зазначили дослідники.
AntiPublic є однією з найвідоміших колекцій викрадених облікових даних. Вона вперше з’явилася у 2016 році та містила близько 600 мільйонів записів. Частина файлів була згрупована за типом сервісів, наприклад окремо для платформ із контентом для дорослих або стримінгових сервісів.
Ще 146 мільйонів записів походили з джерела під назвою «комбінація порушень» і, ймовірно, містили інформацію з попередніх витоків даних. Такі набори особливо цінні для зловмисників, оскільки багато користувачів роками використовують одні й ті самі паролі.
Найменше джерело містило лише 27 записів і було позначене як «RedLine Stealer». RedLine є одним із найвідоміших інфостілерів, що поширюється за моделлю Malware-as-a-Service (MaaS) та активно використовується кіберзлочинцями для викрадення облікових даних.
