Ujawnienie 24 miliardów skradzionych danych logowania. Skala zagrożenia dla kont i firm gwałtownie rośnie - Security Bez Tabu

Ujawnienie 24 miliardów skradzionych danych logowania. Skala zagrożenia dla kont i firm gwałtownie rośnie

Cybersecurity news

Wprowadzenie do problemu / definicja

Do publicznej ekspozycji trafiła ogromna baza zawierająca około 24 miliardów rekordów powiązanych z danymi uwierzytelniającymi. Chodzi przede wszystkim o loginy, adresy e-mail, hasła zapisane w postaci jawnej oraz adresy URL usług, do których te dane mogły zapewniać dostęp. Tego typu incydent wpisuje się w kategorię masowych wycieków pochodzących z działalności infostealerów, kompilacji wcześniejszych naruszeń oraz obiegu danych w kanałach cyberprzestępczych.

W skrócie

Badacze bezpieczeństwa zidentyfikowali otwarty klaster Elasticsearch zawierający ponad 8,3 TB danych i około 24 miliardy rekordów. Zdecydowana większość wpisów miała odpowiadać logom z malware typu infostealer, czyli pakietom danych wykradanych z urządzeń ofiar. Zbiór miał pochodzić z 36 różnych źródeł, z czego ponad 30 było powiązanych z kanałami na Telegramie.

  • Skala incydentu objęła około 24 miliardy rekordów.
  • Dane miały obejmować loginy, adresy e-mail, hasła i adresy URL usług.
  • Największa część zbioru została oznaczona jako „collections”.
  • Baza została usunięta z publicznego dostępu, ale ryzyko nadużyć pozostało realne.

Kontekst / historia

Masowe zbiory danych logowania nie są nowym zjawiskiem. Od lat cyberprzestępcy budują wielkie repozytoria pochodzące z kilku źródeł jednocześnie: naruszeń baz danych, zrzutów z serwerów, kampanii phishingowych oraz infekcji malware wykradającym hasła z przeglądarek, menedżerów haseł i sesji uwierzytelniających. W praktyce największą wartość operacyjną mają nie tylko świeże dane, ale także starsze rekordy, ponieważ użytkownicy często wielokrotnie używają tych samych haseł lub nie zmieniają ich przez długi czas.

W omawianym przypadku szczególnie istotny jest udział kanałów komunikacyjnych wykorzystywanych do handlu danymi i automatyzacji ich dystrybucji. Znaczna część rekordów miała być powiązana z takimi źródłami, co pokazuje, że ekosystem wykradzionych danych nie opiera się wyłącznie na pojedynczych wyciekach, lecz na ciągłym przepływie informacji między operatorami malware, brokerami dostępu i grupami zajmującymi się przejęciami kont.

Analiza techniczna

Najważniejszym elementem technicznym incydentu jest charakter danych. Według opisu zbioru dominowały logi infostealerów, czyli rekordy tworzone automatycznie po infekcji stacji roboczej lub urządzenia użytkownika. Taki log zwykle zawiera zestaw atrybutów: nazwę usługi, adres URL logowania, nazwę użytkownika lub adres e-mail, hasło, a czasem także tokeny sesyjne, informacje o przeglądarce, pliki cookie czy dane systemowe.

Istotny jest również podział na 36 źródeł. Ponad 30 miało pochodzić z kanałów Telegrama, a część rekordów została opisana jako lokalne zrzuty baz danych i kompilacje wcześniejszych naruszeń. Oznacza to, że nie mamy do czynienia z jednorodnym wyciekiem z jednej organizacji, lecz z agregacją danych o różnej jakości, wieku i pochodzeniu.

Największa grupa, oznaczona jako „collections”, obejmowała około 22,6 miliarda rekordów. Taka etykieta może wskazywać zarówno na zbiory archiwalne, jak i na dane pogrupowane według usług lub kategorii dostępu. Ponieważ baza została szybko usunięta z widoku publicznego, nie udało się jednoznacznie potwierdzić struktury całej zawartości ani poziomu duplikacji.

Dodatkowym sygnałem operacyjnym była obecność rekordów odnoszących się do identyfikatorów CVE, repozytoriów kodu oraz materiałów związanych z aktualnymi incydentami bezpieczeństwa. Może to sugerować, że właściciel zbioru nie tylko przechowywał dane historyczne, ale także aktywnie aktualizował bazę o nowe informacje przydatne w dalszych operacjach.

Konsekwencje / ryzyko

Najbardziej bezpośrednim ryzykiem są przejęcia kont. Jeśli dane obejmują poprawne kombinacje login-hasło, atakujący mogą wykorzystać je przeciwko poczcie elektronicznej, usługom SaaS, bankowości internetowej, VPN, panelom administracyjnym oraz kontom w mediach społecznościowych. Zagrożenie gwałtownie rośnie, gdy użytkownik nie stosuje MFA lub używa tego samego hasła w wielu miejscach.

Drugim wektorem ryzyka jest credential stuffing. Nawet jeśli część rekordów jest stara lub zduplikowana, automatyczne testowanie ich w wielu serwisach nadal bywa skuteczne. Dla organizacji oznacza to wzrost liczby prób logowania z użyciem poprawnych danych, które nie zawsze są łatwe do odróżnienia od legalnego ruchu.

Trzecia konsekwencja dotyczy phishingu ukierunkowanego i oszustw BEC. Połączenie adresów e-mail, nazw usług i potencjalnie aktualnych danych z kanałów cyberprzestępczych pozwala przygotowywać wiarygodne kampanie podszywania się pod dostawców usług, administratorów lub działy IT.

Dla przedsiębiorstw problem ma również wymiar strategiczny. Nawet jeśli wyciek nie pochodzi bezpośrednio z ich infrastruktury, przejęte poświadczenia pracowników mogą prowadzić do naruszenia środowisk korporacyjnych, usług chmurowych i łańcucha dostaw.

Rekomendacje

Organizacje powinny potraktować tego typu doniesienia jako sygnał do natychmiastowego przeglądu polityki uwierzytelniania. Priorytetem jest wymuszenie unikalnych haseł dla wszystkich systemów oraz szerokie wdrożenie MFA, szczególnie dla poczty, dostępu zdalnego, paneli administracyjnych i usług chmurowych.

  • Wymusić stosowanie unikalnych haseł i menedżerów haseł.
  • Rozszerzyć wdrożenie MFA lub passkeys tam, gdzie to możliwe.
  • Monitorować anomalie logowania charakterystyczne dla credential stuffing.
  • Chronić stacje robocze przed infostealerami poprzez aktualizacje, filtrowanie treści i kontrolę uruchamiania aplikacji.
  • Rotować hasła i unieważniać aktywne sesje po wykryciu podejrzanych logowań.

Zespoły SOC i IAM powinny zwiększyć monitoring prób logowania pod kątem anomalii, takich jak nietypowe lokalizacje, rozproszone geograficznie adresy IP, wzrost liczby błędów uwierzytelniania czy nagłe fale resetów haseł. Po stronie użytkowników końcowych należy wymusić zmianę haseł dla kont o wysokiej wartości oraz dla wszystkich przypadków, w których hasła mogły być współdzielone między usługami.

Podsumowanie

Ekspozycja bazy zawierającej około 24 miliardów rekordów pokazuje skalę współczesnego rynku skradzionych poświadczeń i dojrzałość zaplecza wykorzystywanego przez cyberprzestępców. Nawet jeśli nie wszystkie rekordy są unikalne lub aktualne, sama objętość danych znacząco zwiększa skuteczność ataków opartych na przejętych loginach i hasłach. Najważniejsze środki obronne pozostają niezmienne: MFA, unikalne hasła, higiena stacji końcowych, monitoring anomalii logowania oraz szybka reakcja na oznaki kompromitacji.

Źródła

  1. Security Affairs – 24 Billion Stolen Credentials Exposed in Massive Data Leak – https://securityaffairs.com/193864/security/24-billion-stolen-credentials-exposed-in-massive-data-leak.html
  2. Cybernews report referenced in the incident coverage – https://cybernews.com/