Вижу новости об утечке 16 млрд паролей Google, Apple, Telegram и дру­гих: как на самом деле

19 июня в интернете широко разошлась новость о крупнейшей утечке паролей — 16 млрд строк.

СМИ писали, что скомпрометированы оказались данные сайтов и сервисов от крупнейших компаний мира: Google, Apple и Telegram. Пользователям советовали срочно менять пароли.

Расскажу, что известно об утечке.

19 июня проект о цифровой безопасности Cybernews сообщил о крупнейшей в истории утечке: в открытый доступ попало почти 16 млрд логинов и паролей от аккаунтов в популярных сервисах. Это, например, данные из Google, Apple, Facebook*, Telegram, GitHub, а также соцсетей, VPN-сервисов и государственных платформ.

В статье говорилось, что исследователи проекта обнаружили 30 наборов данных, каждый из которых содержит от десятков миллионов до более чем 3,5 млрд записей. Кроме одного набора из 184 млн паролей, большинство из них ранее нигде не публиковали. Один из файлов — в нем около 450 млн записей — содержит данные российских пользователей. Другой связан с Telegram, в нем 60 млн строк.

При этом 16 млрд паролей — это общее число записей, далеко не все из них уникальные: в датасетах множество пересечений.

Исследователи Cybernews заявили, что все базы данных находились в открытом доступе короткий промежуток времени. Но по их словам, этого было достаточно, чтобы архив обнаружили специалисты и, вероятно, потенциальные злоумышленники. Из-за того, что базы быстро пропали из доступа, исследователи не смогли установить ответственных за слив.

В статье Cybernews говорится, что большую часть украденных данных собрали с помощью инфостилеров — вредоносного ПО, которое попадает на устройство через фишинговые письма или веб-сайты. Когда люди по ошибке или незнанию устанавливают зловредные программы, те крадут логины и пароли, а затем отправляют мошенникам.

Слитая информация представлена в стандартной форме: URL-адрес, за которым следуют логин и пароль.

По словам исследователей, количество новых утечек означает, что такие вирусы широко распространены. И это внушает авторам особую тревогу.

Исследование выложили на сайте cybernews.com, который позиционирует себя как медиапроект в сфере информационной безопасности. Он не очень широко известен и существует примерно с 2019 года. Штаб-квартира компании расположена в Литве. Статью об утечке написал Вилиус Петкаускас, указанный как замглавреда.

Изначально Cybernews не представил доказательств существования базы утекших паролей в виде скринов с замазанными данными, что вызвало вопросы многих специалистов. Но в ответ на критику 20 июня исследователи добавили в статью несколько скриншотов, где видны данные профилей Apple, Facebook*, Instagram*, GitHub и других.

Эксперты считают, что подлинность данных установить трудно: по словам руководителя департамента исследования киберугроз экспертного центра безопасности Positive Technologies Дениса Кувшинова, в подборку могут входить и сгенерированные данные.

Аналитик Kaspersky Digital Footprint Intelligence Александра Федосимова обратила внимание на то, что 16 млрд записей — это количество, почти вдвое превышающее население Земли. По ее словам, «трудно поверить», что мог вскрыться такой большой объем информации.

По мнению авторов телеграм-канала «Запуск завтра», сайт Cybernews выглядит как «классический SEO-PR-проект». Вполне возможно, что статью написали ради трафика.

На такой вариант указывает и последующая публикация в Forbes, после которой новость разошлась по всему интернету. Ее написал не журналист издания, а блогер. Forbes часто используют, чтобы получить SEO-трафик.

Вероятно, скоро что-нибудь прояснится: исследователь утечек Трой Хант написал (сайт недоступен из РФ) в соцсетях, что изучит исследование и постарается узнать об утечке больше.

Даже если принимать указанное в статье за подлинную информацию, эксперты сходятся во мнении, что как таковой утечки не было. Денис Кувшинов предполагает, что эти данные — частная коллекция хакера или группы хакеров, которую собирали годами и использовали для рассылки спама или проникновения в аккаунты пользователей ради кражи или компрометации переписки.

Основатель российского сервиса разведки уязвимостей DLBI Ашот Оганесян считает, что масштаб утечки значительно преувеличен. По его информации, опубликованный в интернете архив представляет собой не свежую базу пользователей, а скомпилированный набор устаревших данных.

«Это сборник лог-файлов для шпионского вируса с множеством повторов и неактуальных паролей, так как данные явно собирались в течение длительного времени», — пояснил Оганесян. По его словам, большая часть информации, попавшей в открытый доступ, уже утратила актуальность и ее обнародование не несет угрозы.

Кроме того, нынешний набор данных не рекордный, вопреки заголовку статьи. В январе 2024 года специалисты того же проекта Cybernews обнаружили «мать всех утечек» на 26 млрд записей.

Не паниковать из-за громких заголовков, а соблюдать правила информационной безопасности. Вот что можно сделать, чтобы защитить себя:

1. Регулярно менять пароли.
2. Установить двухфакторную авторизацию во всех важных для вас сервисах. Лучше выбирать не звонки или смс, а ОТР — одноразовые пароли, например через Google Authenticator или 1Password.
3. Не использовать один и тот же пароль на разных сайтах. Если в одном сервисе он окажется скомпрометирован — например, из-за взлома, а не ваших действий, — под угрозой окажутся и другие данные.
4. Если волнуетесь, проверьте, не попадали ли ваши пароли в уже известные утечки. Например, это можно сделать при помощи сервиса Have I Been Pwned.
5. Если вы обнаружили пароль в утекших базах данных, срочно поменяйте его.