В даркнете растёт рынок перепродажи старых утечек данных
Изображение: recraft
На теневых форумах сложился устойчивый рынок перепродажи старых украденных баз данных, и утечки годичной и даже большей давности продолжают приносить доход мошенникам. Исследователи Positive Technologies фиксируют, что спрос на такие массивы не падает — покупатели зачастую не проверяют происхождение данных и не выясняют, появлялись ли они раньше в открытом доступе.
Для компаний, ранее переживших утечки, это создаёт дополнительную сложность при оценке актуальных рисков.
Продавцы на теневых площадках используют громкие формулировки и создают ощущение эксклюзивности, выставляя старые базы как уникальные предложения. Часть покупателей при этом рассчитывает получить более полный набор данных, чем тот, что ранее попал в публичное пространство. Так формируется постоянный оборот даже для давно скомпрометированной информации.
Конкретный пример из отчёта Positive Technologies — база микрофинансовой организации «Займер». Запрос на её покупку зафиксирован в 2026 году, хотя сама утечка произошла ещё в 2024-м, когда злоумышленники получили доступ к данным около 16 млн пользователей.
Часть сведений из старых утечек сохраняет практическую ценность годами — пароли, контактные данные и другие чувствительные элементы пользователи нередко не меняют, что даёт мошенникам возможность повторно применять такие базы в кибератаках.
Внутри теневых сообществ при этом идут собственные разборки. В одном из задокументированных случаев участник форума публиковал десятки объявлений о якобы свежих утечках, пока другой продавец не указал на несоответствия. В ответ первый раскрыл личные данные оппонента и обвинил его в продаже уже известных массивов. Подобные конфликты показывают, что даже внутри нелегального рынка идёт борьба за репутацию — и в конечном счёте ценность товара здесь определяется не новизной данных, а умением их подать.
Алина Ледяева, эксперт компании StopPhish, заявила в разговоре с CISOCLUB: «Мнение о том, что старая утечка данных не представляет опасности – наивное заблуждение. База может быть двухлетней давности, но если сотрудник не менял пароль и продолжает использовать ту же почту, для атакующего она всё ещё может быть полезным инструментом.
Для бизнеса это опасная иллюзия, что раз утечка уже была, значит, риск закрыт. На деле такие базы просто проверяют на актуальность и заново монетизируют. В результате старая утечка продолжает работать против компании через повторное использование доступов и подготовку новых атак.
Чтобы такие истории не повторялись, важно привить сотрудникам привычку регулярно менять пароли и соблюдать цифровую гигиену, благодаря чему даже при утечке данные быстро потеряют ценность Только системная работа с осведомленностью гарантирует, что любая база, даже старая, не станет для хакера открытой точкой входа».
Андрей Кузнецов, генеральный директор ООО «РуБэкап» (входит в «Группу Астра»): «Действительно, в даркнете уже давно формируется отдельный рынок перепродажи «старых» утечек, где данные из старых инцидентов переупаковывают, комбинируют и продают повторно. Одна и та же утечка может годами перепродаваться, нарезаться на части, продаваться по запросу, использоваться в RaaS‑атаках и фишинге, даже если изначально данные были украдены не для кражи денег, их могут использовать для публичного шантажа, «утечки‑под давление» или продажи конкурентам.Рынок перепродажи стимулирует компании серьёзно мониторить даркнет и искать свои данные там, а не узнавать про утечку по факту».
