СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
17 июня
#ИБ

Гигантский архив на 24 млрд логинов и паролей лежал в открытом доступе на сервере Elasticsearch

Гигантский архив на 24 млрд логинов и паролей лежал в открытом доступе на сервере Elasticsearch

изображение: grok

Специалисты Cybernews наткнулись на одно из самых масштабных хранилищ скомпрометированных учётных записей за всю практику наблюдения — около 24 миллиардов строк с логинами, паролями и ссылками на страницы авторизации. Архив лежал на сервере Elasticsearch без пароля и какой-либо защиты, поэтому скачать содержимое мог любой человек, знавший точный адрес хранилища. Объём подборки превысил 8 ТБ, а внутри обнаружились материалы, датированные 2026 годом, что указывает на регулярное пополнение коллекции свежими порциями краденого.

Архив собран не из одной утечки, а склеен из множества разрозненных источников. Аналитики Cybernews насчитали как минимум 36 разных потоков поступления данных, и каждый из них приносил свой тип содержимого:

  • логи стилеров и других зловредов для кражи паролей;
  • ранее опубликованные дампы из известных взломов;
  • выгрузки, сделанные напрямую со скомпрометированных серверов жертв;
  • материалы, распространявшиеся через Telegram-каналы;
  • наборы данных англоязычного и русскоязычного происхождения.

Стоит обратить внимание, что специалисты Cybernews прямо заявили — утечка учётных данных опасна просто из-за своих огромных масштабов.

Точное число уникальных записей подсчитать так и не получилось. Доступ к серверу закрыли довольно быстро, и провести полноценный разбор содержимого исследователи не успели. К тому же значительная часть строк наверняка дублируется, ведь одна и та же пара логин-пароль могла одновременно фигурировать в нескольких источниках сразу. Возраст записей тоже остаётся загадкой, хотя присутствие совсем свежих фрагментов намекает на активную работу владельца архива вплоть до момента публикации.

Отдельного внимания заслуживает фрагмент примерно на 260 миллионов записей, связанный с Telegram-каналами, в названиях которых фигурировало слово Darkside. Под таким именем ранее работала группа операторов программ-вымогателей, прогремевшая после серии громких атак на промышленные и энергетические компании. Связь между нынешним архивом и старой группировкой пока не доказана, но само совпадение названия наводит на размышления о том, кто и зачем собирал такую коллекцию.

Кому принадлежит сервер с базой, узнать не удалось. Содержимое указывает на смешанное происхождение материалов:

  • значительная доля данных пришла с англоязычных площадок;
  • встречались русскоязычные источники с собственными подборками;
  • часть строк выгружалась прямиком из Telegram-каналов теневой тематики;
  • отдельные фрагменты повторяли уже известные дампы прошлых лет;
  • свежие записи 2026 года говорят о продолжающейся работе оператора.

Любопытно, что миллиарды учётных записей оказываются под прямой угрозой компрометации в первую очередь те владельцы, кто пренебрегает многофакторной аутентификацией.

Главная опасность подобных архивов кроется не в самих паролях, а в практике повторного использования одних и тех же комбинаций на разных сайтах. Злоумышленники прогоняют скомпрометированные пары через автоматизированные сервисы и подбирают доступы к почте, банковским кабинетам, корпоративным панелям. Даже устаревшие на несколько лет пары работают против тех, кто за это время ни разу не менял пароль. Поэтому рекомендации Cybernews сводятся к простым шагам:

  • сменить пароли в тех сервисах, которые хранят чувствительные данные или платёжную информацию;
  • завести уникальную комбинацию для каждой отдельной учётной записи;
  • подключить второй фактор там, где платформа предоставляет такую возможность;
  • проверить свои адреса электронной почты через публичные сервисы поиска по утечкам;
  • отказаться от хранения паролей в браузере в пользу отдельного менеджера.

Масштабы инцидента поднимают неприятный вопрос об эффективности классических парольных моделей доступа. Триллионы строк краденых данных накопились в общей сложности за последние годы, и каждая новая мегаподборка лишь увеличивает риск массового подбора. Переход на passkey, аппаратные ключи и одноразовые токены постепенно идёт, но пользовательская инерция остаётся высокой, а большинство массовых сервисов продолжает поддерживать классические пароли как основной способ входа. Пока такая ситуация сохраняется, подобные сборники будут появляться снова и снова, меняя только цифры в заголовках.

Также ранее мы писали о том, что южнокорейская торговая платформа Coupang получила рекордный штраф в размере 624,6 млрд вон, или около 409 млн долларов, после масштабной утечки данных пользователей. Комиссия по защите персональных данных Южной Кореи установила, что инцидент затронул более 37 млн клиентов компании и выявил серьёзные недостатки в системе защиты информации крупнейшего онлайн-ритейлера страны.

Эксперты редакции CISOCLUB убеждены, что подобные находки давно перестали быть единичными сенсациями и превратились в фоновый шум индустрии. Любая компания и любой частный пользователь должны исходить из предположения, что их старые пароли уже где-то лежат в общедоступном виде. Эра одних только пар логин-пароль закончилась, и затягивание с переходом на двухфакторную защиту и беспарольные технологии равносильно открытой двери для атакующих. Особое беспокойство вызывает связка таких архивов с инфраструктурой Telegram, где торговля доступами поставлена на поток. Чем быстрее массовые сервисы откажутся от парольной модели входа по умолчанию, тем меньше поводов для появления очередных хранилищ на десятки терабайт.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: