На одному з форумів для кіберзлочинців з’явилося оголошення про продаж бази даних, яка нібито містить інформацію про 310 мільйонів користувачів Temu. Попри те, що опубліковані зразки виглядають відносно новими, підтвердити реальний масштаб можливого витоку наразі неможливо.
Автор оголошення стверджує, що володіє великою базою даних користувачів китайського маркетплейса. Якщо ця інформація відповідає дійсності, йтиметься про надзвичайно масштабний інцидент, адже, за наявними даними, Temu має близько 416 мільйонів активних користувачів щомісяця.
Для підтвердження своїх слів продавець опублікував 99 зразків записів.
Аналіз показав, що вони містять широкий набір інформації про користувачів, зокрема:
повні імена;
адреси електронної пошти;
номери телефонів;
ідентифікатори користувачів;
хеші паролів bcrypt;
інформацію про пристрої Android та iOS;
версії застосунку та ідентифікатори пакетів;
IP-адреси під час реєстрації та останнього входу;
налаштування мови й локалізації;
географічні дані;
часові мітки створення акаунтів і входів;
внутрішні службові прапорці та інші метадані облікових записів.
Більшість оприлюднених записів містять часові позначки за 2026 рік, що може свідчити про відносно актуальне походження даних, а не про повторне використання інформації зі старих витоків. Водночас перевірити заявлений обсяг у 310 мільйонів записів наразі неможливо.
За структурою зразків дослідники припускають, що дані могли походити з внутрішньої системи керування обліковими записами Temu або стороннього сервісу, який обслуговує користувацькі акаунти.
«Записи містять ідентифікатори облікових записів, внутрішні прапорці, хеші паролів, інформацію про пристрої та метадані користувача. Схоже, що це було взято або з внутрішнього інструменту CMS, або від третьої сторони, яка керує цими обліковими записами».
Хоча паролі у вибірці зберігаються у вигляді bcrypt-хешів, а не відкритого тексту, це не виключає ризиків. Якщо зловмисникам вдасться підібрати слабкі паролі, отримані облікові дані можуть використовуватися в атаках із підстановкою облікових даних, коли одна й та сама комбінація логіна та пароля автоматично перевіряється на інших онлайн-сервісах.
Крім того, поєднання імен, електронних адрес, номерів телефонів, інформації про пристрої, IP-адрес і геоданих може значно спростити проведення цільових фішингових атак та кампаній соціальної інженерії. Використовуючи такі метадані, шахраям буде простіше маскувати свої повідомлення під офіційні сповіщення Temu.
Компанія Temu поки що не підтвердила можливий витік даних.
Водночас експерти закликають ставитися до подібних оголошень обережно. На кіберкримінальних форумах нерідко використовують гучні назви компаній і завищують кількість нібито викрадених записів, щоб привернути увагу покупців. У цьому випадку всю базу даних оцінили лише у 700 доларів, що виглядає доволі низькою ціною для масиву такого масштабу.
Подібні заяви щодо Temu вже з’являлися раніше. У 2024 році на одному з нелегальних майданчиків також пропонували базу даних, яка нібито містила 87 мільйонів записів користувачів. Тоді компанія заявила, що перевірка не підтвердила походження цих даних із її систем.
