Мошенники молчат. СМИ кричат. А вы снова меняете пароли из-за хайпа
NewsMaker«Мать всех утечек» оказалась сводной мачехой из Telegram.
Новость о так называемом «матери всех утечек» вызвала бурную реакцию в СМИ: заголовки пестрели тревожными предупреждениями, а интонации текстов — паникой. Однако реальная суть произошедшего намного менее сенсационна. Речь идёт не о новой атаке и не о свежей утечке, а о сборной базе данных, состоящей из уже похищенных ранее учётных записей. Эти данные накапливались годами — как результат деятельности инфостилеров, последствий старых взломов и атак методом подбора паролей (credential stuffing). Теперь они были просто собраны в одном месте и кратковременно оказались в открытом доступе.
Компиляция, обнаруженная Cybernews, была оформлена в формате, типичном для логов инфостилеров, однако сами образцы данных исследователи не публиковали. По сути, это архивы с текстовыми файлами, содержащими тысячи строк с данными о логинах и паролях. Формат таких записей чаще всего выглядит как URL, логин и пароль, разделённые двоеточием или другим символом-разделителем.
Например, в таком виде: URL:username
assword
Источником данных, как правило, становятся компьютеры пользователей, заражённые инфостилерами — программами, разработанными специально для кражи личной информации. При заражении устройство подвергается полной зачистке: программа извлекает все сохранённые логины, пароли, токены, сессии, криптокошельки и другую чувствительную информацию из браузеров, приложений и локальных файлов. После этого все данные собираются в лог и автоматически загружаются на сервер злоумышленника. Далее лог может быть либо продан на теневых форумах, либо выложен в открытый доступ — для набора «репутации» или в качестве приманки к платным предложениям.
Угроза со стороны инфостилеров стала настолько повсеместной, что украденные логины и пароли сегодня — один из основных способов получения доступа к чужим сетям и аккаунтам. Данные применяются в атаках на компании, учреждения, частных пользователей. Даже кратковременное попадание таких логов в открытые источники — например, Telegram, Pastebin или Discord — может означать утечку миллионов пар логинов и паролей.
В опубликованных архивах размером более 1,2 ГБ содержались десятки тысяч учётных записей. Подобных утечек — сотни тысяч. Их общий объём — миллиарды строк. И всё это — уже скомпрометированные учётные данные, циркулирующие в даркнете и среди киберпреступников годами. Аналогичные утечки были и ранее: знаменитый сборник RockYou2024 с более чем 9 миллиардами записей, а также Collection #1 с 22 миллионами уникальных паролей.
Справедливости ради, в этой утечке нет ничего принципиально нового. Ни один сайт не был взломан в последние дни, и ни одно приложение не пострадало в результате атаки, связанной с данной базой. Сам факт публикации — это всего лишь отражение накопленного цифрового мусора, который продолжает оборачиваться угрозой для тех, кто годами использует одни и те же пароли или не защищает аккаунты должным образом.
Тем не менее, проблема не теряет актуальности. Инфостилеры продолжают активно распространяться, в том числе через фишинговые сайты, поддельные обновления программ и даже рекламные баннеры. В 2024 и 2025 годах международные силовики провели ряд операций по борьбе с распространителями этих программ — включая акцию Operation Secure и остановку деятельности LummaStealer . Однако полностью искоренить угрозу пока не удалось.
Что делать пользователям в таких условиях? В первую очередь — провериться на заражение. Прежде чем менять пароли, нужно удостовериться, что на устройстве нет вредоносного кода. Если сменить пароль до удаления инфостилера, новый пароль тоже окажется в логе.
Далее — улучшить гигиену паролей: использовать уникальные сложные комбинации для каждого сайта и хранить их в надёжном менеджере паролей. Также необходимо включить двухфакторную аутентификацию ( 2FA ) — но не через SMS, а с помощью приложений вроде Google Authenticator, Authy или Microsoft Authenticator. Многие менеджеры паролей позволяют хранить коды 2FA в том же приложении.
Даже если ваш пароль оказался в утекшей базе, активная защита в виде 2FA не позволит злоумышленнику получить доступ к аккаунту.
Чтобы проверить, были ли ваши учётные записи замечены в прошлых утечках, можно воспользоваться специализированными сервисами по поиску утечек. И если вы используете один и тот же пароль на нескольких сайтах — сейчас самое время это изменить. Чем раньше начнётся эта работа, тем меньшими будут последствия при следующих утечках.
Новость о так называемом «матери всех утечек» вызвала бурную реакцию в СМИ: заголовки пестрели тревожными предупреждениями, а интонации текстов — паникой. Однако реальная суть произошедшего намного менее сенсационна. Речь идёт не о новой атаке и не о свежей утечке, а о сборной базе данных, состоящей из уже похищенных ранее учётных записей. Эти данные накапливались годами — как результат деятельности инфостилеров, последствий старых взломов и атак методом подбора паролей (credential stuffing). Теперь они были просто собраны в одном месте и кратковременно оказались в открытом доступе.
Компиляция, обнаруженная Cybernews, была оформлена в формате, типичном для логов инфостилеров, однако сами образцы данных исследователи не публиковали. По сути, это архивы с текстовыми файлами, содержащими тысячи строк с данными о логинах и паролях. Формат таких записей чаще всего выглядит как URL, логин и пароль, разделённые двоеточием или другим символом-разделителем.
Например, в таком виде: URL:username
assword Источником данных, как правило, становятся компьютеры пользователей, заражённые инфостилерами — программами, разработанными специально для кражи личной информации. При заражении устройство подвергается полной зачистке: программа извлекает все сохранённые логины, пароли, токены, сессии, криптокошельки и другую чувствительную информацию из браузеров, приложений и локальных файлов. После этого все данные собираются в лог и автоматически загружаются на сервер злоумышленника. Далее лог может быть либо продан на теневых форумах, либо выложен в открытый доступ — для набора «репутации» или в качестве приманки к платным предложениям.
Угроза со стороны инфостилеров стала настолько повсеместной, что украденные логины и пароли сегодня — один из основных способов получения доступа к чужим сетям и аккаунтам. Данные применяются в атаках на компании, учреждения, частных пользователей. Даже кратковременное попадание таких логов в открытые источники — например, Telegram, Pastebin или Discord — может означать утечку миллионов пар логинов и паролей.
В опубликованных архивах размером более 1,2 ГБ содержались десятки тысяч учётных записей. Подобных утечек — сотни тысяч. Их общий объём — миллиарды строк. И всё это — уже скомпрометированные учётные данные, циркулирующие в даркнете и среди киберпреступников годами. Аналогичные утечки были и ранее: знаменитый сборник RockYou2024 с более чем 9 миллиардами записей, а также Collection #1 с 22 миллионами уникальных паролей.
Справедливости ради, в этой утечке нет ничего принципиально нового. Ни один сайт не был взломан в последние дни, и ни одно приложение не пострадало в результате атаки, связанной с данной базой. Сам факт публикации — это всего лишь отражение накопленного цифрового мусора, который продолжает оборачиваться угрозой для тех, кто годами использует одни и те же пароли или не защищает аккаунты должным образом.
Тем не менее, проблема не теряет актуальности. Инфостилеры продолжают активно распространяться, в том числе через фишинговые сайты, поддельные обновления программ и даже рекламные баннеры. В 2024 и 2025 годах международные силовики провели ряд операций по борьбе с распространителями этих программ — включая акцию Operation Secure и остановку деятельности LummaStealer . Однако полностью искоренить угрозу пока не удалось.
Что делать пользователям в таких условиях? В первую очередь — провериться на заражение. Прежде чем менять пароли, нужно удостовериться, что на устройстве нет вредоносного кода. Если сменить пароль до удаления инфостилера, новый пароль тоже окажется в логе.
Далее — улучшить гигиену паролей: использовать уникальные сложные комбинации для каждого сайта и хранить их в надёжном менеджере паролей. Также необходимо включить двухфакторную аутентификацию ( 2FA ) — но не через SMS, а с помощью приложений вроде Google Authenticator, Authy или Microsoft Authenticator. Многие менеджеры паролей позволяют хранить коды 2FA в том же приложении.
Даже если ваш пароль оказался в утекшей базе, активная защита в виде 2FA не позволит злоумышленнику получить доступ к аккаунту.
Чтобы проверить, были ли ваши учётные записи замечены в прошлых утечках, можно воспользоваться специализированными сервисами по поиску утечек. И если вы используете один и тот же пароль на нескольких сайтах — сейчас самое время это изменить. Чем раньше начнётся эта работа, тем меньшими будут последствия при следующих утечках.