Утечка базы данных с 24 млрд записями
Исследователи выявили утечку базы данных ошеломляющего размера. В результате этой утечки базы данных скомпрометировано 24 млрд различных записей.
Исследователи группы Cybernews обнаружили в открытом доступе базу данных, содержащую 24 млрд записей, включая имена пользователей, адреса электронной почты, пароли в виде простого текста и URL-адреса для входа в систему. Данные, хранившиеся в кластере Elasticsearch, по всей видимости, получены из журналов вредоносных программ (инфостилеров), украдены с зараженных устройств и собраны из каналов Telegram, а также собраны в результате старых утечек данных и из других источников. Всего эксперты насчитали 36 различных источников данных в найденной базе.
Судя по всему, команда Cybernews нашла одну из крупнейших баз данных, когда-либо размещавшихся в Сети. Общий объем информации в хранилище составил 8,3 ТБ. Большинство из скомпрометированных 24 млрд записей представляли собой логи из журналов программ-инфостилеров, включая учетные данные.
«Утечка учетных данных опасна уже из-за своего огромного размера. С момента утечки данных в Сеть миллиарды затронутых инцидентом учетных записей подвергаются серьезному риску захвата, особенно если они не защищены многофакторной аутентификацией», — пояснила команда исследователей.
Как пояснили в Cybernews, большинство из 36 источников данных (более 30) - это каналы Telegram. Количество записей из каждого источника варьируется от нескольких тысяч до сотен миллионов. Большинство каналов на английском языке, есть русскоязычные каналы.
Интересно, что почти 260 млн записей поступили из Telegram-каналов с названиями «Darkside». Несколько лет назад Darkside была одной из самых активных группировок, занимавшихся программами-вымогателями. Эта кибербанда печально известна своим нападением на трубопровод Colonial Pipeline, что привело к перебоям в поставках топлива на восточное побережье США.
Огромное количество данных, более 22,6 млрд записей, в найденном хранилище, судя по всему, представляют «коллекцию», сформированную на основе ранее утекших данных из тех или иных компаний.
Поскольку данные исчезли из публичного доступа вскоре после обнаружения, исследователи не смогли внимательно изучить происхождение информации в так называемой «коллекции». Также команда Cybernews не успела определить, из каких именно организаций были слиты данные. Но судя по огромному количеству записей, оказавшихся в Сети, информация происходила из крупных сервисов с очень большой пользовательской базой.
Кроме того, исследователи обнаружили источник со 150 миллионами записей, названный «локальными дампами баз данных». Записи из этого источника, вероятно, указывают на то, что они были экспортированы непосредственно с действующих целевых серверов. Локальные дампы баз данных обычно подразумевают загрузку содержимого определенной базы данных на устройство пользователя.
«Кроме того, записи содержали имена файлов, из которых они были импортированы. В общей сложности было как минимум 195 различных имен файлов. Некоторые из них указывали на типы учетных записей и на то, что рассматриваемые учетные данные поступили из коллекции AntiPublic», — заявили исследователи.
AntiPublic — это составленный злоумышленниками сборник комбинаций адресов электронной почты, логинов и паролей, впервые появившийся в 2016 году и содержащий около 600 млн записей. Информация из AntiPublic в коллекции, найденной исследователями, классифицирована по тематикам сервисов. Например, некоторые файлы содержали данные для входа только в сервисы с контентом для взрослых или только для аутентификации на стриминговых платформах.
Еще 146 млн записей поступили из источника под названием «breach compilation combo». Скорее всего, они содержат информацию из прошлых утечек данных, в результате которых были раскрыты учетные данные пользователей. Злоумышленники охотно используют ранее утекшие записи, поскольку многие люди используют одинаковые учетные данные на разных сервисах и редко меняют пароли.
Небольшие наборы данных (примерно 17 000 записей), которые нашли исследователи, содержали описания критических уязвимостей, а также соответствующие адреса репозиториев GitHub.
Кроме того, более 5200 документов были связаны с новостными статьями, посвященными недавним утечкам данных: URL-адреса статей, содержание и краткие описания.
Еще 2900 документов представляли собой подборки сообщений в социальных сетях, связанных с инцидентами в области кибербезопасности. В одном из постов, которые увидела команда Cybernews, обсуждались оперативные детали распространения программы-вымогателя Babuk, появившейся в 2021 году.
Все это указывает на то, что владелец найденной коллекции активно отслеживает ситуацию в сфере кибербезопасности, вероятно, с намерением регулярно обновлять свою обширную базу учетных данных записями о последних взломах.