Добавить в корзинуПозвонить
Найти в Дзене
Центр 25-12
14 подписчиков

Самая крупная утечка паролей в истории — 16 млрд записей

1
5 мин
В последние сорок восемь часов специалисты-исследователи обнаружили и подтвердили существование крупнейшего на сегодня «слива» учётных данных: около 16 миллиардов строк «сайт + логин + пароль» и связанных cookie-токенов оказались открыто доступны в тридцати незащищённых кластерах ElasticSearch и object-storage. Масштаб равен совокупности всех предыдущих «мегакомпиляций» и ставит под угрозу миллионы корпоративных и частных аккаунтов — от Apple ID до GitHub PAT. Ниже — подробный разбор того, как возник «дамп 16B», из чего он состоит, чем он отличается от RockYou2024 и COMB 2021, а также практическое руководство, как защититься. Литовское издание Cybernews ежедневно сканирует открытые адресные пространства на предмет неправильно настроенных баз. 18 июня 2025 г. их бот нашёл 30 публично индексируемых узлов, где лежали архивы логов infostealer-малвары. В сумме файлы содержали 16 146 239 614 уникальных записей — абсолютный рекорд. Журнал TechRadar Pro оперативно поднял тестовый экземпляр и п
Оглавление

В последние сорок восемь часов специалисты-исследователи обнаружили и подтвердили существование крупнейшего на сегодня «слива» учётных данных: около 16 миллиардов строк «сайт + логин + пароль» и связанных cookie-токенов оказались открыто доступны в тридцати незащищённых кластерах ElasticSearch и object-storage. Масштаб равен совокупности всех предыдущих «мегакомпиляций» и ставит под угрозу миллионы корпоративных и частных аккаунтов — от Apple ID до GitHub PAT. Ниже — подробный разбор того, как возник «дамп 16B», из чего он состоит, чем он отличается от RockYou2024 и COMB 2021, а также практическое руководство, как защититься.

1. Как нашли «дамп 16B»

1.1 Команда Cybernews

Литовское издание Cybernews ежедневно сканирует открытые адресные пространства на предмет неправильно настроенных баз. 18 июня 2025 г. их бот нашёл 30 публично индексируемых узлов, где лежали архивы логов infostealer-малвары. В сумме файлы содержали 16 146 239 614 уникальных записей — абсолютный рекорд.

1.2 Проверка TechRadar

Журнал TechRadar Pro оперативно поднял тестовый экземпляр и подтвердил, что базы действительно открываются без авторизации, а часть паролей свежая — 25 % записей датированы маем–июнем 2025 г. Журналисты также убедились, что в наборах встречаются креды Apple, Google, Facebook, Telegram, VPN-провайдеров и даже правительственных порталов.

1.3 Независимые публикации

Forbes назвал находку «крупнейшей в истории утечкой паролей» и порекомендовал немедленно сменить пароли от критически важных сервисов. Cointelegraph сфокусировался на рисках для криптокошельков: доступ к почте или 2FA-токену может привести к полной потере активов.

2. Анатомия «дампа 16B»

2.1 Структура файлов

Внутри обнаружено 22 архива формата ZIP и 8 — в виде «сырых» JSON-логов. Каждая запись содержит URL, username, password, IP-адрес, user-agent и, в 17 % случаев, cookie-tокен, позволяющий обойти 2FA.

2.2 География и свежесть

По IP-метаданным почти половина логов собрана на ПК, расположенных в США (27 %) и Индии (21 %), остальное распределяется по 40+ странам. Около трети строк появились после января 2025 г., что делает набор опаснее «классических» компиляций, где преобладают данные допандемийных утечек.

2.3 Сравнение с предшественниками

  • RockYou2024 содержал 9,9 млрд уникальных паролей и считался рекордным всего 11 месяцев.
  • COMB 2021 включал 3,2 млрд комбинаций и долго оставался «золотым стандартом» для credential-stuffing-атак.
    «Дамп 16B» в 1,6 раза крупнее RockYou2024 и в пять раз — COMB.

3. Откуда берутся такие объёмы

3.1 Инфостилеры как главный источник

Анализ сигнатур показывает, что 80 % строк принадлежат RedLine, Raccoon, Lumma и Acreed — четырём самым популярным stealers-семействам 2024–2025 гг. После ликвидации инфраструктуры Lumma в мае 2025 г. новое семейство Acreed быстро заняло нишу и стало «звездой» подпольных маркетплейсов.

3.2 Цепочка «дом-офис-криминальный рынок»

  • Заражённый ПК отправляет логи на С2-сервер злоумышленника.
  • Логи перепродаются на Russian Market или Genesis.
  • Для ускорения поиска данные объединяются в открытые Elastic-узлы, чтобы различные акторы могли быстро фильтровать «товар».

    Небрежная настройка этих узлов и привела к несанкционированной публикации.

4. Почему это важно

4.1 Рост ATO-атак

По отчёту Imperva за 2025 г., число попыток Account Takeover выросло на 40 % год-к-году, причём 73 % из них начинаются с credential-stuffing. Даже если только 0,1 % украденных кредов «приживётся» на новом сервисе, это 16 млн успешных логинов.

4.2 Уязвимость криптоплатформ

Некая часть утёкших строк содержит seed-фразы и cookie крупнейших бирж; Cointelegraph предупреждает, что «один-единственный совпавший токен может стоить держателю всё портфолио».

4.3 Корпоративные риски

Служебные пароли зачастую повторяют личные: по данным TechRadar, до 37 % сотрудников используют один и тот же пароль «для удобства».Большие дампы облегчают фишинг с персонализацией — злоумышленник сразу видит, какими сервисами жертва пользуется.

5. Как меняются рекомендации

5.1 Нормативы NIST

Апрельское обновление NIST 800-63B рекомендует длину паролей минимум 15 символов и обязательное MFA для критичных сервисов.

5.2 Переход на пасски

По данным FIDO Alliance, 74 % пользователей, знакомых с passkeys, уже предпочитают их паролям, а 48 % топ-100 сайтов добавили поддержку. Сервис State-of-Passkeys фиксирует, что к 18 июня 2025 г. 84,46 % устройств в мире «готовы» к безпарольной аутентификации.

5.3 Государственные инициативы

Великобритания объявила план перейти на passkeys во всех гос-порталах до конца 2025 г., что задаёт тон для массового отказа от паролей.

6. Практическая инструкция пользователю

  1. Сразу смените пароли для почты, облака и банков, используя уникальные фразы 15+ символов.
  2. Включите MFA (желательно TOTP-приложения или FIDO-ключи).
  3. Проверьте e-mail на сервисах Have I Been Pwned и аналогах: база будет постепенно добавлена.
  4. Активируйте passkeys, где доступны, и убедитесь, что устройства синхронизируются.
  5. Очистите ПК от infostealer-софта сканером EDR/AV; новые варианты Acreed обходят устаревшие сигнатуры.
  6. Следите за транзакциями и настройте SMS-/push-уведомления в банке.

7. Советы компаниям

  • Проверить почтовые домены на массовые входы из «новых» IP-адресов в тот же день/час — признак stuffing-кампании.
  • Запретить паролям совпадать с топ-10 M списков утечек: современные IAM-платформы поддерживают динамическую проверку.
  • Внедрить безпарольный вход на основе FIDO2/WebAuthn; опыт UK Gov показывает, что пользователи воспринимают это как упрощение, а не усложнение.
  • Отслеживать экспозицию API-ключей в открытых репозиториях: 2 % строк в «дампе 16B» содержат токены CI/CD.

8. Что ждёт дальше

Эксперты ожидают, что подобные компиляции будут выходить «партиями» каждые несколько месяцев, поскольку рынок инфостилеров живёт по принципу высокой оборачиваемости. Чем быстрее корпорации и государственные структуры перейдут к безпарольным схемам, тем менее ценными станут такие сливы. В ином случае нас ждут новые рекорды, а 20-миллиардный дамп может появиться уже в 2026 г. — чистая математика роста бот-сетей и небрежности операторов.

Итоги

«Дамп 16B» — жёсткое напоминание, что традиционные пароли устарели. Он превосходит RockYou2024 и COMB 2021 по объёму и свежести, а значит, угроза реальна «здесь и сейчас». Пока экосистема не перейдёт на массовое использование пасски и аппаратных ключей, подобные утечки будут повторяться. Но у пользователей и компаний уже есть инструменты защиты: длинные уникальные фразы, MFA, мониторинг утечек и постепенный отказ от паролей как класса. Следуйте рекомендациям выше — и даже 16 миллиардов строк не станут приговором.