Дослідник кібербезпеки Джеремая Фаулера 22 травня 2025 року виявив, що база даних без паролів містить 184162718 записів для входу та паролів, і повідомив про це закордонному кібербезпековому медіа Website Planet.
Обсяг бази даних становить 47.42GB і, як вважається, був зібраний за допомогою шкідливого програмного забезпечення InfoStealer (шкідливе програмне забезпечення для викрадення інформації).
Деталі витоку даних та масштаб впливу
! Джерело: сайт Planet
містилися типи автентифікаційної інформації
Опублікована база даних містила облікові дані широкого спектра сервісів. Було підтверджено інформацію про облікові записи на основних платформах соціальних медіа, таких як провайдери електронної пошти та продукти Microsoft, а також Facebook, Instagram, Snapchat, Roblox.
Доступ до банківських рахунків та облікових записів фінансових установ кількох країн, медичних платформ, порталів урядових установ також включено, що піддає ризику особи та організації, які стали жертвами витоку.
Пан Фаулер зв'язався з кількома адресами електронної пошти, зареєстрованими в базі даних, і підтвердив, що записи містять точний та дійсний пароль. База даних була підключена до двох доменних імен, але власника не вдалося встановити.
Особливості шкідливого програмного забезпечення InfoStealer
InfoStealer – це загальний термін для зловмисного програмного забезпечення, яке спеціалізується на викраденні конфіденційної інформації із заражених систем. Він в першу чергу націлений на облікові дані, що зберігаються у веб-браузерах, поштових клієнтах і додатках для обміну повідомленнями, але також викрадає дані автозаповнення, файли cookie та інформацію про криптовалютний гаманець. У деяких варіантах також є можливість робити знімки екрана та записувати натискання клавіш.
На даний момент шлях збору даних у цій справі не встановлено, але оскільки кіберзлочинці часто поширюють шкідливе програмне забезпечення через фішингові електронні листи, шкідливі веб-сайти, зламане програмне забезпечення тощо, необхідно бути обережними.
Очікувані основні ризики безпеки
атака на облікові дані
Атака на основі облікових даних є автоматизованим методом атаки, який намагається отримати несанкціонований доступ до кількох онлайн-сервісів, використовуючи вкрадені облікові дані.
Використовуючи звичку багатьох користувачів повторно використовувати один і той же пароль в декількох сервісах, вони використовують ботнети для виконання тисяч спроб входу в систему в секунду. Використовуючи 184 мільйони витоків облікових даних, зловмисники можуть спробувати увійти в будь-який онлайн-сервіс, включаючи банки, соціальні мережі, сайти електронної комерції та корпоративні системи.
Успішність зазвичай становить приблизно 0,1–2%, але в рамках цього масштабу може бути скомпрометовано кілька сотень тисяч до кількох мільйонів облікових записів.
Взлом акаунта (ATO)
Викрадення облікового запису (Account Takeover: ATO) — це атака, яка повністю контролює обліковий запис користувача з використанням дійсних облікових даних.
Зокрема, облікові записи, які не мають двофакторної автентифікації (2FA), піддаються надзвичайно високому ризику, оскільки їх можна зламати лише за допомогою ідентифікатора входу та пароля. Як тільки зловмисник заволодіває обліковим записом, він отримує доступ до всієї збереженої особистої інформації (PII), інформації про кредитну картку, історії покупок, списків контактів тощо.
Крім того, існує ризик виникнення вторинних збитків, таких як надсилання шахрайських електронних листів, які маскуються під жертву, націлених на друзів, родину, бізнес-партнерів, незаконні перекази коштів, блокування через зміни налаштувань облікового запису.
Вплив на компанії та урядові установи
Ці дані, що потрапили в мережу, підтверджують наявність численних корпоративних облікових записів та облікових записів державних установ різних країн (.gov). У разі зловживання корпоративними обліковими даними зловмисник може отримати доступ до внутрішньої мережі, викрасти конфіденційні бізнес-дані, займатися промисловим шпигунством і навіть здійснити атаки з використанням програм-вимагачів.
Особливо викликає занепокоєння наявність облікових записів державних установ. Якщо серед них є облікові записи з доступом до важливої інфраструктури держави або конфіденційної інформації, це може стати серйозною загрозою для національної безпеки. Крім того, існує ризик, що вони можуть бути використані як точка відправлення для атак на ланцюг постачання, що може призвести до ланцюгового розширення однієї порушення.
ризики, пов'язані з криптоактивами
Підвид шкідливого програмного забезпечення InfoStealer націлений не лише на облікові записи бірж, а й на секретні ключі та сид-фрази гаманців у вигляді розширень браузера.
Такі загрози мають тенденцію до зростання, наприклад, "StilachiRAT", про який компанія Microsoft попередила в березні 2025 року, націлений на понад 20 типів гаманців, таких як MetaMask, Trust Wallet, Phantom, та викрадає облікові дані через реєстр Windows.
Якщо в злитих даних автентифікації містяться облікові записи криптовалютної біржі, то на облікових записах без налаштованої 2FA може бути негайно виконано несанкціонований переказ.
Транзакції з криптовалютою є незворотними, тому після того, як гроші відправлені, їх вкрай складно відновити. Крім того, деякі з останніх шкідливих програм мають можливість контролювати буфер обміну та автоматично виявляти та викрадати адреси та приватні ключі, що робить його постійною загрозою для власників криптовалют.
Заходи безпеки, які повинен вжити користувач
Ця велика витік інформації стала важливою можливістю для перегляду особистих паролів та заходів безпеки. Для запобігання подальшому розширенню шкоди всім користувачам потрібно швидко вжити заходів.
Основні заходи, які користувач повинен вжити, наведені нижче. Поєднуючи ці заходи, можна захиститися від витоку інформації.
Управління паролями
Щорічна зміна пароля, використання унікальних складних паролів для всіх акаунтів. Рекомендується використовувати менеджер паролів.
Двофакторна автентифікація (2FA)
Особливо в фінансових установах, криптовалютних біржах, важливих акаунтах це обов'язково.
Моніторинг аккаунта
Перевірка витоку на Have I Been Pwned (HIBP), використання сповіщень про вхід та сповіщень про активність
Захист криптоактивів
Велика кількість активів управляється за допомогою апаратного гаманця
Програмне забезпечення безпеки
Впровадьте надійне антивірусне програмне забезпечення та завжди підтримуйте його в актуальному стані. Для підвищеного захисту розгляньте рішення EDR.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
1 мільйон8400 тисяч件 інформації про входи було скомпрометовано, ймовірно, зібрано за допомогою шкідливих програм = повідомлення
Обсяг бази даних становить 47.42GB і, як вважається, був зібраний за допомогою шкідливого програмного забезпечення InfoStealer (шкідливе програмне забезпечення для викрадення інформації).
Деталі витоку даних та масштаб впливу
! Джерело: сайт Planet
містилися типи автентифікаційної інформації
Опублікована база даних містила облікові дані широкого спектра сервісів. Було підтверджено інформацію про облікові записи на основних платформах соціальних медіа, таких як провайдери електронної пошти та продукти Microsoft, а також Facebook, Instagram, Snapchat, Roblox.
Доступ до банківських рахунків та облікових записів фінансових установ кількох країн, медичних платформ, порталів урядових установ також включено, що піддає ризику особи та організації, які стали жертвами витоку.
Пан Фаулер зв'язався з кількома адресами електронної пошти, зареєстрованими в базі даних, і підтвердив, що записи містять точний та дійсний пароль. База даних була підключена до двох доменних імен, але власника не вдалося встановити.
Особливості шкідливого програмного забезпечення InfoStealer
InfoStealer – це загальний термін для зловмисного програмного забезпечення, яке спеціалізується на викраденні конфіденційної інформації із заражених систем. Він в першу чергу націлений на облікові дані, що зберігаються у веб-браузерах, поштових клієнтах і додатках для обміну повідомленнями, але також викрадає дані автозаповнення, файли cookie та інформацію про криптовалютний гаманець. У деяких варіантах також є можливість робити знімки екрана та записувати натискання клавіш.
На даний момент шлях збору даних у цій справі не встановлено, але оскільки кіберзлочинці часто поширюють шкідливе програмне забезпечення через фішингові електронні листи, шкідливі веб-сайти, зламане програмне забезпечення тощо, необхідно бути обережними.
Очікувані основні ризики безпеки
атака на облікові дані
Атака на основі облікових даних є автоматизованим методом атаки, який намагається отримати несанкціонований доступ до кількох онлайн-сервісів, використовуючи вкрадені облікові дані.
Використовуючи звичку багатьох користувачів повторно використовувати один і той же пароль в декількох сервісах, вони використовують ботнети для виконання тисяч спроб входу в систему в секунду. Використовуючи 184 мільйони витоків облікових даних, зловмисники можуть спробувати увійти в будь-який онлайн-сервіс, включаючи банки, соціальні мережі, сайти електронної комерції та корпоративні системи.
Успішність зазвичай становить приблизно 0,1–2%, але в рамках цього масштабу може бути скомпрометовано кілька сотень тисяч до кількох мільйонів облікових записів.
Взлом акаунта (ATO)
Викрадення облікового запису (Account Takeover: ATO) — це атака, яка повністю контролює обліковий запис користувача з використанням дійсних облікових даних.
Зокрема, облікові записи, які не мають двофакторної автентифікації (2FA), піддаються надзвичайно високому ризику, оскільки їх можна зламати лише за допомогою ідентифікатора входу та пароля. Як тільки зловмисник заволодіває обліковим записом, він отримує доступ до всієї збереженої особистої інформації (PII), інформації про кредитну картку, історії покупок, списків контактів тощо.
Крім того, існує ризик виникнення вторинних збитків, таких як надсилання шахрайських електронних листів, які маскуються під жертву, націлених на друзів, родину, бізнес-партнерів, незаконні перекази коштів, блокування через зміни налаштувань облікового запису.
Вплив на компанії та урядові установи
Ці дані, що потрапили в мережу, підтверджують наявність численних корпоративних облікових записів та облікових записів державних установ різних країн (.gov). У разі зловживання корпоративними обліковими даними зловмисник може отримати доступ до внутрішньої мережі, викрасти конфіденційні бізнес-дані, займатися промисловим шпигунством і навіть здійснити атаки з використанням програм-вимагачів.
Особливо викликає занепокоєння наявність облікових записів державних установ. Якщо серед них є облікові записи з доступом до важливої інфраструктури держави або конфіденційної інформації, це може стати серйозною загрозою для національної безпеки. Крім того, існує ризик, що вони можуть бути використані як точка відправлення для атак на ланцюг постачання, що може призвести до ланцюгового розширення однієї порушення.
ризики, пов'язані з криптоактивами
Підвид шкідливого програмного забезпечення InfoStealer націлений не лише на облікові записи бірж, а й на секретні ключі та сид-фрази гаманців у вигляді розширень браузера.
Такі загрози мають тенденцію до зростання, наприклад, "StilachiRAT", про який компанія Microsoft попередила в березні 2025 року, націлений на понад 20 типів гаманців, таких як MetaMask, Trust Wallet, Phantom, та викрадає облікові дані через реєстр Windows.
Якщо в злитих даних автентифікації містяться облікові записи криптовалютної біржі, то на облікових записах без налаштованої 2FA може бути негайно виконано несанкціонований переказ.
Транзакції з криптовалютою є незворотними, тому після того, як гроші відправлені, їх вкрай складно відновити. Крім того, деякі з останніх шкідливих програм мають можливість контролювати буфер обміну та автоматично виявляти та викрадати адреси та приватні ключі, що робить його постійною загрозою для власників криптовалют.
Заходи безпеки, які повинен вжити користувач
Ця велика витік інформації стала важливою можливістю для перегляду особистих паролів та заходів безпеки. Для запобігання подальшому розширенню шкоди всім користувачам потрібно швидко вжити заходів.
Основні заходи, які користувач повинен вжити, наведені нижче. Поєднуючи ці заходи, можна захиститися від витоку інформації.
Щорічна зміна пароля, використання унікальних складних паролів для всіх акаунтів. Рекомендується використовувати менеджер паролів.
Перевірка витоку на Have I Been Pwned (HIBP), використання сповіщень про вхід та сповіщень про активність
Велика кількість активів управляється за допомогою апаратного гаманця