Wprowadzenie do problemu / definicja
Skala kradzieży poświadczeń rośnie do poziomu, który zmienia sposób prowadzenia ataków na organizacje. Zamiast klasycznego włamywania się przez exploity lub ręczne obchodzenie zabezpieczeń, cyberprzestępcy coraz częściej uzyskują dostęp poprzez gotowe dane logowania, tokeny sesyjne i artefakty uwierzytelniające pozyskane z malware typu infostealer, wycieków oraz rynków przestępczych. Najnowsze dane wskazują, że w 2025 roku zidentyfikowano niemal 2,9 miliarda skompromitowanych poświadczeń, co potwierdza przesunięcie ciężaru ataków z eksploatacji podatności na nadużywanie tożsamości.
W skrócie
- W 2025 roku prześledzono około 2,86–2,9 mld skompromitowanych poświadczeń.
- Znacząca część incydentów była związana z aktywnością infostealerów wykradających hasła, ciasteczka, tokeny i dane do usług chmurowych.
- Trend ten zwiększa skuteczność ransomware, oszustw BEC, przejęć kont oraz naruszeń środowisk SaaS.
- Bezpieczeństwo organizacji coraz silniej zależy dziś od ochrony tożsamości, sesji i urządzeń końcowych, a nie wyłącznie od zarządzania podatnościami.
Kontekst / historia
Problem skompromitowanych poświadczeń nie jest nowy, jednak w ostatnich kilkunastu miesiącach jego dynamika wyraźnie przyspieszyła. Wcześniejsze raporty branżowe wskazywały na setki milionów, a następnie miliardy danych logowania pojawiających się w logach malware, combo-listach i pakietach sprzedawanych na forach cyberprzestępczych. Obecnie rynek ten działa jak dojrzały ekosystem: jedni aktorzy infekują urządzenia, inni agregują dane, a kolejni wykorzystują je do uzyskiwania wstępnego dostępu lub ich odsprzedaży.
W tle widoczna jest również zmiana modelu operacyjnego grup przestępczych. Poświadczenia przestały być jedynie skutkiem ubocznym infekcji, a stały się samodzielnym towarem i kluczowym zasobem umożliwiającym dalsze operacje. Dotyczy to zwłaszcza dostępów do usług pocztowych, platform chmurowych, paneli administracyjnych, VPN, narzędzi deweloperskich oraz systemów tożsamości federacyjnej. Im większe uzależnienie firm od SaaS i zdalnego dostępu, tym większa wartość przejętego konta.
Analiza techniczna
Technicznie rzecz biorąc, źródłem dużej części skompromitowanych poświadczeń są kampanie infostealerów. Tego typu malware, po uruchomieniu na urządzeniu ofiary, przeszukuje przeglądarki, menedżery haseł, portfele kryptowalutowe, klienty pocztowe i lokalne magazyny aplikacji. Celem jest pozyskanie nie tylko loginów i haseł, ale też plików cookie, tokenów sesyjnych, zapisanych formularzy, historii przeglądania oraz konfiguracji kont.
To istotne, ponieważ nowoczesny atak nie musi zaczynać się od łamania hasła. Jeżeli napastnik dysponuje aktywnym tokenem sesyjnym albo przejętym ciasteczkiem uwierzytelniającym, może ominąć część klasycznych mechanizmów ochronnych, a w niektórych scenariuszach także osłabić skuteczność MFA. Szczególnie niebezpieczne są przypadki, w których urządzenie użytkownika jest jednocześnie zalogowane do poczty, narzędzi biurowych, repozytoriów kodu i paneli administracyjnych.
Kolejny etap to monetyzacja lub operacjonalizacja dostępu. Dane logowania są porządkowane, tagowane według typu usługi, kraju, domeny lub wartości biznesowej, a następnie sprzedawane albo wykorzystywane bezpośrednio. Atakujący stosują credential stuffing, przejęcia kont, ruch boczny w środowisku chmurowym, eskalację uprawnień oraz kradzież danych. W przypadku ransomware przejęte poświadczenia coraz częściej służą jako pierwszy krok do uzyskania legalnie wyglądającego dostępu do infrastruktury ofiary.
Dodatkowym czynnikiem wzrostu jest automatyzacja. Duże wolumeny skradzionych danych można dziś szybko filtrować, wzbogacać o dane wywiadowcze i łączyć z narzędziami do masowego testowania dostępów. To powoduje, że wartość operacyjna pojedynczego wycieku jest większa niż kilka lat temu. Napastnik nie potrzebuje już skomplikowanego łańcucha exploitów, jeśli może zalogować się zamiast włamywać.
Konsekwencje / ryzyko
Dla organizacji oznacza to istotny wzrost ryzyka w kilku obszarach. Po pierwsze, kompromitacja kont użytkowników biznesowych umożliwia cichy, trudniejszy do wykrycia dostęp do systemów. Po drugie, przejęcie tożsamości w środowisku SaaS może prowadzić do masowej eksfiltracji danych bez uruchamiania klasycznych wskaźników złośliwego oprogramowania. Po trzecie, skradzione poświadczenia zwiększają skuteczność ataków ransomware i oszustw ukierunkowanych.
Ryzyko jest szczególnie wysokie tam, gdzie występuje ponowne używanie haseł, brak phishing-resistant MFA, słaba segmentacja dostępu oraz niedostateczna widoczność aktywności tożsamościowej. Problem dotyczy również urządzeń prywatnych i przeglądarek pracowników, ponieważ to właśnie tam często przechowywane są dane uwierzytelniające do usług korporacyjnych. Granica między bezpieczeństwem endpointu a bezpieczeństwem tożsamości praktycznie zanika.
Z perspektywy operacyjnej najgroźniejsze są trzy scenariusze: przejęcie konta uprzywilejowanego, kompromitacja tożsamości chmurowej oraz wykorzystanie aktywnej sesji do obejścia części kontroli dostępu. W każdym z tych przypadków czas detekcji może być długi, ponieważ aktywność napastnika przypomina legalne logowanie użytkownika.
Rekomendacje
Organizacje powinny traktować poświadczenia jako zasób wysokiego ryzyka i objąć je ochroną porównywalną z ochroną stacji roboczych oraz systemów krytycznych. Podstawą jest wdrożenie phishing-resistant MFA, preferencyjnie w modelu opartym na kluczach sprzętowych lub FIDO2/WebAuthn, zamiast polegania wyłącznie na kodach SMS czy aplikacjach OTP.
Drugim filarem powinno być ograniczenie możliwości kradzieży danych z endpointów. W praktyce oznacza to twarde polityki dla przeglądarek, blokowanie zapisu haseł w niezarządzanych aplikacjach, kontrolę rozszerzeń, EDR/XDR z telemetrią procesu przeglądarki oraz monitoring artefaktów charakterystycznych dla infostealerów. Warto także ograniczyć użycie lokalnie przechowywanych sekretów i wdrażać krótkotrwałe tokeny dostępu.
Konieczne jest również ciągłe monitorowanie wycieków i zasobów tożsamościowych. Obejmuje to nadzór nad ekspozycją poświadczeń w źródłach zewnętrznych, szybki reset haseł po wykryciu incydentu, unieważnianie sesji, rotację tokenów i kluczy API oraz analizę anomalii logowań. Niezbędne staje się także wdrażanie zasad conditional access, segmentacji uprawnień, least privilege i separacji kont administracyjnych od codziennej pracy użytkownika.
Wreszcie, zespoły SOC i IR powinny aktualizować playbooki o scenariusze związane z przejęciem sesji, token theft i malware typu stealer. Klasyczne procedury resetu hasła nie zawsze są wystarczające, jeśli napastnik nadal dysponuje ważnym tokenem lub sesją przeglądarkową.
Podsumowanie
Prawie 2,9 miliarda skompromitowanych poświadczeń w skali jednego roku to sygnał, że tożsamość stała się jednym z głównych pól walki w cyberbezpieczeństwie. Współczesne ataki coraz częściej wykorzystują legalnie wyglądające logowanie zamiast głośnej eksploatacji technicznej. Z punktu widzenia obrony oznacza to konieczność przesunięcia priorytetów: od samego patchowania i ochrony perymetru w stronę bezpieczeństwa tożsamości, urządzeń końcowych, sesji i dostępu do usług chmurowych. Firmy, które nie uwzględnią tego trendu w strategii bezpieczeństwa, będą coraz częściej przegrywać nie dlatego, że ktoś przełamał ich zabezpieczenia, lecz dlatego, że ktoś po prostu zalogował się poprawnymi danymi.
Źródła
- Researchers Track 2.9 Billion Compromised Credentials – Infosecurity Magazine
- Cybercrime Hits Record Scale with 2.86 Billion Credentials Stolen in 2025 as Ransomware Evolves Beyond Extortion, KELA Finds
- The State of Cybercrime 2026 | KELA Cyber
- Over 330 Million Credentials Compromised by Infostealers – Infosecurity Magazine
- KELA Reveals Over 3,600 Ransomware Victims and 2.67 Million Infostealer Infections in the First Half of 2025