Новые взломы в 2026 году уже не нужны. Старые утечки продолжают кормить киберпреступников

Старые утечки данных перестали быть архивной проблемой из прошлого. Они превратились в живой рынок, где базы годичной и более давней давности снова продаются, переупаковываются и используются для свежих атак. Для бизнеса это неприятная реальность, поскольку инцидент формально заканчивается, а украденные данные продолжают работать против компании, её клиентов и сотрудников ещё долго.

Логины, пароли, токены сессий, cookie-файлы, почтовые архивы и персональные данные после попадания в теневой оборот не исчезают. Они меняют владельцев, попадают в новые подборки, идут в ход для фишинга, атак на аккаунты, социальной инженерии, мошенничества и давления на компании с уже пережитой утечкой.

В 2025 году исследователи KELA выявили почти 2,9 млрд скомпрометированных учётных данных по всему миру. В отчёте «Состояние киберпреступности 2026. Новые угрозы и прогнозы» сказано о резком усилении рынка цифровой преступности за счёт утечек, вымогательства, эксплуатации уязвимостей и активного применения искусственного интеллекта.

Интересно, что злоумышленникам уже не всегда нужно ломать дверь, поскольку готовый ключ к ней давно лежит в продаже на теневом рынке.

Старые базы больше не лежат мёртвым грузом. На теневых форумах сформировался устойчивый рынок перепродажи украденных данных. Исследователи Positive Technologies фиксируют отсутствие падения спроса на подобные массивы. Покупатели часто не проверяют происхождение данных и не выясняют их предыдущие появления в открытом доступе.

Олег Каракулов, старший аналитик УЦСБ SOC, в комментарии для CISOCLUB отметил активное использование старых баз киберпреступниками под видом новых утечек. По словам Олега Каракулова, повторная продажа уже скомпрометированных данных не только увеличивает срок их существования на теневом рынке, но и повышает риски для бизнеса на каждом новом этапе перепродажи.

Особенно опасной картина становится при объединении старых данных с новыми. Преступники собирают почти готовый профиль человека из нескольких источников:

• почта и телефон из одной утечки;
• пароль из другой базы;
• место работы из третьего источника;
• сведения о банковских сервисах из четвёртой;
• данные о подписках и привычках из пятой.

Дмитрий Пензов, технический директор ATLAS и этичный хакер, в комментарии для CISOCLUB связал рост вторичного рынка украденных данных с развитием цифровых сервисов. По словам Дмитрия Пензова, чем глубже цифровая индустрия входит в повседневную жизнь, тем больше чувствительной информации накапливается в сервисах, и за подобными массивами активно охотятся преступники.

Дмитрий Пензов также указал на бытовую причину живучести старых утечек. Многие пользователи повторно используют одни и те же пароли в разных сервисах, поэтому даже старая база остаётся рабочим инструментом атаки.

Масштаб проблемы хорошо виден по данным InfoWatch. За 2023–2025 годы из российских баз похищено более 4,5 млрд записей персональных данных, а в мире показатель добрался до 101,5 млрд записей. Подобный поток постоянно подкармливает теневые площадки и затем годами используется в разных схемах.

В теневой оборот попадают самые разные категории информации:

• ФИО, телефоны и адреса электронной почты
• даты рождения и паспортные сведения
• логины, пароли и токены доступа
• cookie-файлы и сохранённые сессии
• коммерческая тайна и внутренняя переписка

Отдельная новая ниша связана с аккаунтами ИИ-сервисов. На теневых рынках растёт спрос на платные учётные записи ChatGPT, Claude и других популярных платформ. Их продают пакетами и иногда обещают обход встроенных ограничений.

Украденные ИИ-аккаунты теперь становятся не только инструментом атаки, но и окном в историю корпоративных запросов сотрудников.

Старые утечки в подобной среде превращаются в топливо для новых ИИ-усиленных атак. Преступник берёт базу клиентов, дополняет её сведениями из других источников, через нейросеть готовит убедительные письма под конкретную аудиторию и запускает кампанию.

Подход «утечка была давно, значит риск ушёл» становится для компаний грубой ошибкой. Данные не имеют срока годности в привычном смысле. Телефон остаётся тем же годами, почта используется по 10 лет и дольше, а пароли люди переиспользуют.

Что нужно делать бизнесу для защиты от вторичного рынка утечек:

• отслеживать домены, почты и токены на теневых площадках;
• принудительно сбрасывать пароли после подтверждённых утечек;
• внедрять многофакторную проверку для критичных аккаунтов;
• контролировать активные сессии, cookie и токены доступа;
• проверять подрядчиков с доступом к внутренним системам;
• готовить коммуникационный план на случай повторной публикации.

Восприятие утечки одним лишь единичным событием больше не работает. Для преступников это товар с несколькими циклами монетизации. Сначала база продаётся как свежая, потом дробится на части, затем объединяется с другими массивами. Позже она идёт в ход для фишинга, обзвона, подбора паролей и мошенничества с поддержкой.

Для ИБ-команд расследование утечки должно выходить за рамки технического отчёта. Нужно понимать состав попавших наружу данных, возможные комбинации с другими базами, категории пользователей в зоне риска и потенциальные атаки через 3, 6 или 12 месяцев.

Эксперты редакции CISOCLUB отмечают, что старые утечки превратились в часть постоянной экономики киберпреступности. По мнению редакции, бизнесу мало закрыть уязвимость, выпустить пресс-релиз и считать инцидент завершённым. Украденные данные продолжают жить на вторичном рынке, а их ценность растёт при соединении с другими массивами, ИИ-инструментами и привычкой пользователей повторять пароли. Компаниям предстоит управлять последствиями утечек годами, а не неделями, иначе вчерашний инцидент будет возвращаться в виде новых атак, жалоб клиентов и репутационных потерь.