«Утечка 16 миллиардов паролей» оказалась сборником старых данных

19 июня 2025 года в СМИ появилась громкая и тревожная новость о так называемой «матери всех утечек». Однако, как выяснилось, речь идет вовсе не о новой хакерской атаке, а о масштабной подборке уже ранее скомпрометированных учетных данных. Эти данные были похищены с помощью инфостилеров, в результате прежних утечек, а также в ходе атак типа credential stuffing — массовой автоматической проверки логинов и паролей на различных сайтах.

Скорее всего, эти украденные учетные данные уже давно находились в обращении — в даркнете или среди киберпреступников. Позже кто-то, будь то исследователи, злоумышленники или даже компании, занимающиеся информационной безопасностью, собрал их воедино, объединив в огромную базу, которая затем оказалась в открытом доступе в интернете.

Согласно информации от Cybernews, именно они обнаружили эту базу, и она была представлена в формате, характерном для логов, создаваемых инфостилерами. При этом сами данные Cybernews не публиковали и не предоставили образцы содержимого.

Инфостилер — это вредоносное ПО, которое пытается украсть учетные данные, криптовалютные кошельки и другие данные с зараженного устройства. За прошедшие годы инфостилеры стали серьезной проблемой, что привело к утечкам по всему миру.

Эти типы вредоносного ПО влияют как на Windows, так и на Mac, и при запуске собирают все учетные данные, которые могут быть найдены на устройстве, и сохраняют их в так называемом «журнале».

Логи инфостилера — это, как правило, архив, содержащий множество текстовых файлов и других украденных данных. Текстовые файлы содержат списки учетных данных, украденных из браузеров, файлов и других приложений.

Пример лога инфостилера

Украденные учетные данные обычно хранятся по одному на строку в следующем формате:

URL:имя пользователя:пароль

Иногда разделитель между каждым компонентом заменяется на запятую, точку с запятой или тире.

Например, ниже показано, как инфостилер сохранит украденные с устройства учетные данные в логе:

https://www.facebook.com/:[email protected]:Databr3achFUd!

https://www.bank.com/login.php:jsmith:SkyIsFa11ing#

https://x.com/i/flow/login:[email protected]:StayCalmCarryOn

После заражения устройство отправляет логи злоумышленнику, который может использовать их для атак или продать на теневых площадках. Проблема стала настолько масштабной, что такие данные часто являются основным способом проникновения в сети компаний.

Правоохранительные органы по всему миру активно борются с подобными группировками. Среди громких операций — Operation Secure и устранение LummaStealer.

Журналы инфостилеров часто публикуются бесплатно в Telegram, Discord и на Pastebin — как реклама для платных сборников или способ заработать репутацию.

Злоумышленники распространяют логи инфостилеров бесплатно в Telegram

Чтобы понять масштаб бесплатного распространения украденных паролей, достаточно взглянуть на один единственный файл объемом 1261,4 МБ, показанный на изображении выше — в нем содержалось более 64 000 пар логинов и паролей.

В интернете распространяются тысячи, а возможно, и сотни тысяч подобных архивов, утекших ранее. Это привело к тому, что в открытом доступе оказалось миллиарды записей учетных данных, доступных совершенно бесплатно.

Предположительно, многие из таких бесплатных архивов были собраны вместе и вошли в состав той самой огромной базы данных, которая на короткое время была обнародована и зафиксирована исследователями из Cybernews.

Топ-20 утечек данных по количеству записей

Подобные масштабные подборки уже публиковались ранее — например, утечка RockYou2024 включала более 9 миллиардов записей, а знаменитая «Collection #1» содержала более 22 миллионов уникальных паролей.

Несмотря на всеобщее внимание к новой утечке, на данный момент нет никаких доказательств, что в состав этой компиляции входят новые или ранее неизвестные данные.

Что делать пользователям?

Итак, теперь, когда вы знаете, что произошла массовая утечка учетных данных, вы можете задаться вопросом, что вам следует предпринять.

Самый важный шаг — соблюдать хорошие привычки кибербезопасности. Если вы обеспокоены тем, что на вашем компьютере может присутствовать инфостилер, просканируйте свое устройство с помощью надежной антивирусной программы, прежде чем менять какие-либо пароли. В противном случае вновь введенные учетные данные также могут быть украдены.

Как только вы убедитесь, что ваша система чиста, сосредоточьтесь на улучшении безопасности работы с паролями.

Используйте уникальный, надежный пароль для каждого сайта и полагайтесь на менеджер паролей, чтобы они были организованы и защищены.

Однако даже уникальные пароли не помогут вам оставаться защищенными, если вас взломают, вы попадетесь на фишинговую атаку или установите вредоносное ПО.

Поэтому крайне важно, чтобы вы также использовали двухфакторную аутентификацию (2FA) вместе с приложением аутентификации, таким как Microsoft Authenticator, Google Authenticator или Authy. Некоторые менеджеры паролей, такие как Bitwarden и 1Password, также включают функцию аутентификации, что позволяет вам использовать одно приложение для безопасного входа в аккаунты.

При включенной 2FA, даже если пароль на сайте скомпрометирован, злоумышленники не смогут получить доступ к учетной записи без вашего 2FA-кода.

Также следует избегать использования текстовых сообщений SMS для получения кодов 2FA, поскольку злоумышленники могут проводить атаки с подменой SIM-карты, чтобы украсть ваш номер телефона и получить их.

Что касается данной утечки, при таком масштабе компрометации учетных данных вполне возможно, что кто-то из читателей этой статьи окажется в списке. Тем не менее, не стоит паниковать и впадать в тревогу, срочно меняя все пароли подряд. Вместо этого стоит воспринять ситуацию как повод пересмотреть и укрепить свои привычки в сфере кибербезопасности.

Чтобы проверить, не появились ли ваши учетные данные в известных утечках, рассмотрите возможность использования таких сервисов, как Have I Been Pwned.

А если вы используете один и тот же пароль на нескольких сайтах, сейчас самое время перейти на уникальные.

Таким образом, подобные утечки станут для вас гораздо менее опасными.