Исследователь Джеремайя Фаулер обнаружил в открытом доступе облачную базу с 149,4 миллиона украденных логинов и паролей. О находке он рассказал в материале, опубликованном через ExpressVPN. База весом 96 ГБ лежала без шифрования и без пароля, то есть фактически любой человек с браузером мог просматривать массив учетных данных крупных сервисов, от почты и соцсетей до финансовых платформ.
По описанию Фаулера, база была явно подготовлена под удобное использование. В записях были не только пары логин и пароль, но и прямые URL для входа. Это важная деталь: такие ссылки экономят время злоумышленникам и упрощают автоматизацию атак по подбору учетных данных. Когда в наборе есть готовый адрес формы входа, скрипты для массовых попыток авторизации пишутся быстрее и работают стабильнее.
Состав данных тоже не выглядит как редкая коллекция из одного источника. Фаулер говорит, что в массиве обнаружились учетные данные Gmail, Instagram, Facebook, Netflix, банковских сервисов и даже правительственных систем. По счетчикам, которые он приводит, самый большой объем пришелся на почтовые провайдеры:
- 48 миллионов записей Gmail
- 4 миллиона Yahoo
- 1,5 миллиона Outlook
- 900 тысяч iCloud
Среди соцсетей и развлечений выделяются:
- Facebook - 17 миллионов аккаунтов
- Instagram - 6,5 миллионами
- Netflix - 3,4 миллионов
- TikTok - 780 тысяч
В базе также были 420 тысяч учетных записей Binance, 100 тысяч OnlyFans и 1,4 миллиона адресов образовательных учреждений в домене .edu.
Отдельно Фаулер выделяет учетные данные с государственных доменов .gov из нескольких стран. Это не обязательно означает взлом государственных сетей прямо сейчас, но такие логины становятся удобной приманкой и точкой давления. В реальной атаке достаточно одной рабочей учетки, чтобы запустить цепочку фишинга, подмены личности или попыток доступа к внутренним ресурсам.
Анализ структуры, который описывает исследователь, указывает на классическую природу таких сливов. Это результат работы вредоносных программ типа инфостилер, которые тихо живут на зараженном компьютере и собирают все, что можно превратить в доступ. Пароли из браузера, данные автозаполнения, содержимое буфера обмена, иногда информацию из памяти. В массиве использовался формат, который Фаулер описывает как обратную пересылку пакетов (Reverse Path Forwarding). Это подход, когда записи структурируются так, чтобы удобно индексировать данные по доменам и жертвам. Для предотвращения дублей каждой записи назначался уникальный хеш-идентификатор.
Главный неприятный момент в том, что доступ к базе был полностью открытый. Никакой авторизации, никакого ограничения. Просто веб-доступ, который позволял листать массив прямо в браузере.
Почему база оставалась открытой так долго
Фаулер пишет, что сообщил о находке хостинг-провайдеру через каналы для уведомлений о нарушениях, но процесс оказался затянутым. По его словам, провайдер сначала отказался от ответственности, сославшись на то, что IP управляется дочерней компанией, которая использует имя материнской организации. В итоге потребовался почти месяц и несколько повторных обращений, прежде чем базу отключили.
Есть еще одна деталь, из-за которой история выглядит хуже. Фаулер отмечает, что количество записей увеличивалось между моментом обнаружения и блокировкой. Это значит, что база продолжала пополняться, и вероятность того, что к ней обращались не только исследователи, а кто-то еще, нельзя исключать.
Что это означает для пользователей и компаний
Такие наборы опасны не потому, что они редкие. Они опасны потому, что их легко превратить в массовую атаку. Комбинации логин и пароль подходят для автоматических попыток входа в почту, финансовые сервисы, корпоративные панели. Если у человека один и тот же пароль в нескольких местах, цепочка компрометации получается почти без усилий. А если в паре с этим идет почта, то дальше начинается восстановление доступа ко всему остальному.
Фаулер рекомендует стандартный набор действий, но здесь он действительно уместен. Включить многофакторную защиту, проверить историю входов, заменить пароли и не повторять их между сервисами, проверить устройство на наличие стилеров. Для организаций вывод тоже прагматичный: инциденты такого типа показывают, что каналы для сообщений о злоупотреблениях должны работать быстро и с человеческим контролем, иначе база успевает стать проблемой для всех.
Запуск таких кампаний подпитывает экономика. Аналитик Recorded Future, Аллан Лиска отмечает, что рынок стилеров стал доступным по модели аренды. По его словам, аренда инфраструктуры может стоить $200–$300 в месяц. Это цена, с которой начинающий злоумышленник получает поток украденных учетных данных и может строить атаки почти конвейером.
Финальная мысль в этой истории довольно циничная. Киберпреступники часто ставят скорость выше аккуратности. Они умеют красть данные, но не всегда умеют хранить их безопасно. И именно такие ошибки, открытые базы без пароля, дают исследователям шанс вскрывать преступную инфраструктуру. Проблема в том, что за время, пока база висит в интернете, ею может успеть воспользоваться не только исследователь.
