Ogromny wyciek danych. Ujawniono miliony loginów i haseł do popularnych platform i serwisów

Nowy rok ledwo się zaczął, a już doszło do jednego z największych wycieków danych ostatnich miesięcy. Według raportu opublikowanego przez Wired, w sieci odkryto niezabezpieczoną bazę danych zawierającą aż 149 milionów rekordów z loginami oraz hasłami użytkowników z całego świata.

Chodzi o loginy i hasła do popularnych aplikacji i platform internetowych, w tym serwisów społecznościowych, platform streamingowych, a nawet usług z sektora finansowego.

Wyciek danych do popularnych stron i platform

Baza danych waży około 96 GB i nie jest w żaden sposób chroniona. Znajdują się w niej adresy e-mail, nazwy użytkowników, hasła oraz linki do stron logowania. Według specjalisty ds. bezpieczeństwa Jeremiaha Fowlera, który odkrył wyciek, dane pochodziły z bardzo różnych źródeł oraz dotyczyły praktycznie każdego typu konta internetowego.

Do sieci wyciekła ogromna baza danych ważąca okło 96 GB zawierająca 149 milionów rekordów, wśród których są adresy e-mail, loginy i hasła oraz dane kart płatniczych różnych usług oraz platform internetowych.

Wśród ujawnionych danych znalazły się m.in. informacje powiązane z około 48 milionami kont Gmail, 17 milionami kont Facebooka oraz setkami tysięcy kont na platformach takich jak Instagram, TikTok czy X. W bazie były także dane użytkowników serwisów streamingowych, Netflix, Disney+ czy HBO Max, a nawet platform związanych z kryptowalutami, w tym Binance.

Szczególnie niepokojące jest to, że wśród ujawnionych informacji znalazły się również dane logowania do serwisów finansowych, bankowych oraz portfeli kryptowalutowych. Fowler potwierdził, że w próbce danych, którą analizował, pojawiły się także loginy do kont bankowych i kart kredytowych.

Co więcej, badacz natrafił na dane logowania do stron rządowych z domeną .gov, pochodzących z różnych krajów. Tego typu informacje mogą być wyjątkowo niebezpieczne, ponieważ ich wykorzystanie może prowadzić do prób podszywania się pod urzędników lub do ataków na systemy administracji publicznej, co w skrajnym przypadku może stanowić zagrożenie dla bezpieczeństwa narodowego.

Niejasne pochodzenie danych

Do dziś nie udało się ustalić, kto był właścicielem bazy danych ani w jakim celu została ona utworzona. Nie wiadomo też, jak długo dane były publicznie dostępne ani czy ktoś poza badaczem zdążył je skopiować. Fowler zgłosił sprawę do firmy hostingowej, jednak proces zablokowania dostępu do bazy trwał miesiącami. W tym czasie liczba rekordów w bazie miała się jeszcze zwiększyć.

Nie jest jasne, czy dane były gromadzone do celów badawczych, czy też od początku miały służyć działalności przestępczej.

Zagrożenie dla użytkowników

Posiadanie tak dużej liczby unikalnych adresów e-mail i haseł daje cyberprzestępcom ogromne możliwości. Nawet jeśli tylko niewielki procent danych okaże się aktualny, przy milionach rekordów może to oznaczać dostęp do tysięcy aktywnych kont. Szczególnie narażone są osoby, które używają tych samych haseł w wielu serwisach lub nie korzystają z dodatkowych zabezpieczeń.

Jak zmniejszyć ryzyko

Eksperci podkreślają, że w obliczu takich wycieków podstawą jest stosowanie unikalnych haseł dla każdego serwisu oraz włączenie uwierzytelniania dwuskładnikowego tam, gdzie jest to możliwe. Dzięki temu nawet w przypadku ujawnienia hasła dostęp do konta będzie znacznie trudniejszy. Warto także regularnie sprawdzać, czy nasze dane nie pojawiły się w znanych wyciekach, i w razie potrzeby jak najszybciej zmieniać hasła.

Lista platform, których dotyczy wyciek:

• Gmail – około 48 milionów kont
• Yahoo – około 4 milionów kont
• Outlook – około 1,5 miliona kont
• iCloud – około 900 tysięcy kont
• Konta w domenie .edu – około 1,4 miliona kont
• Facebook – około 17 milionów kont 
• Instagram – około 6,5 miliona kont
• TikTok – około 780 tysięcy kont
• Netflix – około 3,4 miliona kont
• OnlyFans – około 100 tysięcy kont
• Binance – około 420 tysięcy kont