Исследователь кибербезопасности Джеремиа Фаулер (Jeremiah Fowler) обнаружил незащищенную базу данных, содержащую более 149 млн уникальных записей с логинами и паролями. Архив не был зашифрован и не требовал пароля для входа. Среди скомпрометированных данных — учетные записи криптобирж, социальных сетей и даже правительственных порталов.
В массиве данных объемом 96 ГБ обнаружили тысячи файлов с email-адресами, паролями и прямыми ссылками на страницы авторизации. Для криптосообщества ситуация выглядит тревожно: в выборке фигурируют 420 000 аккаунтов биржи Binance.
Фаулер также нашел доступы к другим торговым платформам, криптокошелькам и банковским приложениям. Наличие прямых URL-адресов для входа упрощает хакерам задачу. Имея на руках готовую связку «логин-пароль-ссылка», злоумышленники могут автоматизировать атаки и массово угонять аккаунты, минуя этап ручного поиска нужного сервиса.
Как работала схема
Утечка стала результатом работы активного вредоносного ПО класса infostealer (инфостилеры). Программа заражала устройства жертв, собирала данные и отправляла их в это облачное хранилище.
Структура файлов указывает на продвинутый характер атаки. Формат записей позволяет операторам вируса удобно сортировать украденное по конкретным жертвам и источникам, а заодно обходить простые защитные алгоритмы, которые ищут стандартные доменные имена. Система использовала хеширование строк, чтобы исключать дубликаты — база состояла исключительно из уникальных данных.
Масштаб
География жертв охватывает весь мир. Помимо криптанов, под раздачу попали пользователи популярных платформ:
- Gmail — 48 млн аккаунтов
- Facebook — 17 млн
- Instagram — 6,5 млн
- Netflix — 3,4 млн
Отдельная проблема — наличие учетных данных от доменов .gov (правительственные ресурсы) разных стран. Это открывает двери для шпионажа, фишинга и проникновения во внутренние государственные сети.
Медленная реакция провайдера
База не имела владельца, но лежала на серверах конкретного хостинг-провайдера. Фаулер отправил жалобу через официальную форму, но ответ пришел только через несколько дней. Компания заявила, что IP-адрес управляется их дочерней структурой, которая работает независимо.
Пока шла бюрократическая переписка, база продолжала пополняться в реальном времени. Количество записей росло прямо на глазах исследователя. На блокировку доступа ушел почти месяц. Кто именно управлял сервером и сколько преступников успели скачать этот архив до его закрытия — неизвестно.
Как защититься
Фаулер и эксперты ExpressVPN напоминают, что просто сменить пароль в такой ситуации недостаточно. Если на устройстве сидит стилер, он перехватит и новый пароль.
Сначала нужно вычистить систему антивирусом, обновить операционную систему и проверить список установленных расширений в браузере. Только после удаления вредоносной программы имеет смысл менять пароли и обязательно включать двухфакторную аутентификацию везде, где это возможно.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.