Утечка столетия: 16 миллиардов паролей обнаружены в теневом Интернете

Исследовательская команда Cybernews и OSINT-аналитики Luxembourg S4 Labs скрывали сенсацию почти три месяца, чтобы перепроверить каждую выборку. Итог превзошёл «Collection #1-5» 2019 года на порядок: 30 файлов-«континентов» объёмом от 10 до 280 ГБ содержат уникальные логины и пароли к учёткам корпоративных VPN, облачных CRM, почтовых сервисов и разработческих порталов. Не считая одного фрагмента из 184 млн записей, 97 % датасета нигде не фигурировало раньше.

Формат ужасающ в своей простоте: строка URL — табуляция — логин — двоеточие — пароль. Никакого мусора типа «admin:123». Каждую запись можно мгновенно скормить брут-боту или «credential stuffing»-скрипту. В выборках обнаружены домены корпораций Fortune 500, мэйл-сервисы университетов, базы найма госсектора Европы, dev-порталы производителей спутникового ПО и десятки внутрениных под-доменов, которые не индексируются обычной сетью.

Аналитики предполагают использование «инфостилеров» RedLine и Lumma, поверх которых авторы взлома применили собственный движок агрегации. «Стилеры» крадут не только хеши — они вытягивают cookies, session-tokenы и список установленных браузерных расширений. Если такое комбо попадёт к фишерам, им даже не придётся взламывать пароль: сессионный токен даст прямой доступ в рабочий кабинет компании.

Генеральный директор Keeper Security Даррен Гуччионе резко заявил: «Мы наблюдаем кульминацию эпохи беспечного DevOps. Логи с ключами API хранятся в открытых S3-бакетах, а admin-панели защищают “qwerty123”». Он призвал правительство США создать обязательные стандарты безопасной конфигурации облаков. Между тем в Европе парламентарии обсуждают штрафы за «digital negligence» — до 4 % годового оборота, если компания проигнорирует базовую опцию access control list.

Чем опасна протекающая «Вавилонская башня» из 16 млрд ключей? Во-первых, атаки «credential stuffing» станут по-настоящему массовыми: утилиты вроде OpenBullet способны проверять 2 млн комбинаций в час. Во-вторых, бум фишинга: имея «свежую» базу, злоумышленник динамически подбирает письма-приманки именно для активных сервисов жертвы. В-третьих, под ударом госорганы: тир III-IV VPN-сервера часто не поддерживают 2FA, потому действуют «по доверию» к паролю.

Рынок уже реагирует. Топ-20 бирж криптоактивов запускают форсированную ротацию API-ключей, Microsoft и Apple добавили предупреждения при входе со «слишком свежих» устройств, а Google выкатил экспериментальный режим «Passkeys Only». Эксперты советуют включить аппаратную 2FA, отказаться от сохранения паролей в браузере и проверять устройства на «инфостилеры» каждые 48 часов. Одновременно на подпольных форумах взвинчен прайс-лист: свежий «кусок» базы (100 млн строк) стоит $5 000 в биткоинах — исторический максимум для черного рынка учётных данных.

Наконец, есть и системная составляющая. Чем ближе Web3 и «дигитальное удостоверение личности», тем выше ставки. В новом мире, где смарт-контракт управляет ипотекой, утечка пароля — это уже не «письмо из банка», а потеря недвижимости одним кликом. Если индустрия не уйдёт на безпарольные схемы Passkey / FIDO2, следующая мегабаза может похоронить доверие к цифровым сервисам десятилетиями.