24 миллиарда паролей утекли из открытого Elasticsearch

01.07.2026 5
24 миллиарда паролей утекли из открытого Elasticsearch

Исследователи Cybernews обнаружили открытый Elasticsearch-сервер с 8,3 ТБ похищенных данных - около 24 миллиардов записей из 36 различных источников. Найденный в конце июня 2026 года массив объединяет свежие логи инфостилеров, Telegram-каналы с ворованными картами и прямые выгрузки из взломанных корпоративных баз данных. Значительная часть записей поступила с активных живых серверов. В датасете присутствуют учётные данные от VPN-аккаунтов, SaaS-сервисов и банковские пароли.

Что нашли и откуда это взялось

Инфостилер - это категория вредоносного ПО, которое молча извлекает сохранённые пароли браузера, сессионные куки, данные автозаполнения и файлы криптокошельков с заражённого устройства. После установки - как правило, через фишинговые письма, пиратский софт или вредоносные расширения браузера - инфостилер в считанные секунды передаёт всё найденное на командный сервер. Оператор затем продаёт полученные логи в Telegram-каналах или на даркнет-маркетплейсах.

Датасет Cybernews объединяет 36 таких источников в единый индекс для поиска. Цифра в 24 миллиарда включает дубликаты, однако исследователи выявили значительную долю уникальных пар учётных данных - адрес электронной почты в связке с паролем в открытом виде или со слабым хешем. Наличие выгрузок с живых серверов свидетельствует о том, что часть данных была актуальной на момент индексации открытого Elasticsearch-экземпляра.

Ключевое отличие: Это не классическая утечка, когда похищают базу одной компании. Логи инфостилеров содержат учётные данные, перехваченные непосредственно с заражённых устройств - то есть пароли, которые пользователь активно вводил или сохранил в браузере, нередко актуальные на момент кражи.

Почему данные инфостилеров опаснее обычных утечек

При классической утечке злоумышленники крадут базу данных компании. Такие учётные данные обычно захешированы, могут быть устаревшими и представляют то, что пользователи ввели при регистрации. Группа ShinyHunters раскрыла 455 000 записей студентов Ноттингемского университета именно по этой схеме - имена, адреса и захешированные пароли из базы одного учреждения.

С данными инфостилеров всё иначе. Вредонос перехватывает пароли в момент ввода или при извлечении из хранилища браузера. На выходе - пара логин-пароль в открытом виде, актуальная на дату заражения. Никакого хеша для взлома нет. Инцидент Fortibleed раскрыл 86 000 VPN-учётных данных Fortinet в открытом виде через аналогичный механизм - компрометацию устройства, а не кражу базы данных.

Это означает: даже если вы всегда использовали надёжные уникальные пароли, заражение инфостилером любого из ваших устройств раскроет все учётные данные, сохранённые в браузере на тот момент. Надёжность пароля не имеет значения, если он перехватывается до момента шифрования.

Как проверить, попали ли ваши данные в базу

Несколько сервисов позволяют проверить, фигурирует ли ваш адрес электронной почты или конкретные пароли в известных базах утечек. Ни один из них не требует вводить реальный пароль - все используют криптографические методы проверки только по хешу.

  • Have I Been Pwned: Самый авторитетный бесплатный сервис. Введите электронную почту, чтобы узнать, в каких утечках она фигурировала, или проверьте отдельные пароли через k-анонимный хеш - ваш полный пароль никогда не передаётся на сервер. Сервис теперь имеет отдельную категорию "Stealer Logs" специально для данных, полученных через инфостилеры.
  • Cybernews Personal Data Leak Checker: Сервис тех же исследователей, которые обнаружили этот датасет. Проверяет вашу почту по собственной накопленной базе утечек, включая описанный в этой статье массив из 24 миллиардов записей.
  • Firefox Monitor: Бесплатный сервис Mozilla, работающий на данных Have I Been Pwned. Обеспечивает постоянный мониторинг - отправляет уведомление на почту при появлении вашего адреса в будущих утечках.
  • Google Password Checkup: Если вы сохраняете пароли в Chrome, Google сравнивает их с известными скомпрометированными парами и предупреждает о совпадениях в разделе "Проверка безопасности". Ваши пароли в открытом виде на серверы Google не передаются.
Что эти инструменты не могут сказать: был ли ваш пароль перехвачен инфостилером до индексации датасета. Если устройство было заражено, учётные данные могут циркулировать в закрытых Telegram-каналах или на маркетплейсах, ещё не попавших ни в одну публичную базу. Чистый результат сегодня не гарантирует защиты от заражения полгода назад.

Что делать, если ваши данные обнаружены

Если любой из перечисленных сервисов обнаружил совпадение для вашей почты или паролей, реакция должна быть немедленной и систематической:

  1. Немедленно смените скомпрометированный пароль в затронутом сервисе. Если тот же пароль использовался в других местах - смените везде.
  2. Включите двухфакторную аутентификацию (2FA) на всех поддерживающих её аккаунтах. Даже зная верный пароль, злоумышленник не получит доступ без TOTP-кода или аппаратного ключа. Приложения-аутентификаторы (Google Authenticator, Authy, Aegis) надёжнее SMS-подтверждения.
  3. Перейдите на менеджер паролей, генерирующий уникальные случайные пароли для каждого сервиса. Если пароли не повторяются, компрометация одного аккаунта не затрагивает остальные. Bitwarden, 1Password и KeePassXC - устоявшиеся варианты.
  4. Проверьте устройства на заражение инфостилером. Если пароль был перехвачен вредоносом, а не украден из базы данных компании, смена пароля не удалит вредоносное ПО. Запустите полное сканирование обновлённым антивирусом и проверьте недавно установленные расширения браузера.
  5. Завершите активные сессии на критически важных аккаунтах (почта, банк, облачное хранилище). Большинство платформ предлагают функцию "Выйти со всех других устройств" в настройках безопасности.

Что на самом деле защищает ваши аккаунты

VPN шифрует интернет-трафик и предотвращает перехват на сетевом уровне. Он не защищает от инфостилеров, которые работают полностью на вашем устройстве до того, как данные вообще попадают в сеть. Утечка данных Carnival Cruises раскрыла паспортные данные 6 миллионов путешественников через компрометацию серверной стороны - другая точка атаки, но с теми же практическими последствиями для жертв.

Наиболее эффективная многоуровневая защита от кражи учётных данных сочетает в себе: менеджер паролей, генерирующий уникальные пары для каждого сервиса; аппаратную или программную 2FA на каждом поддерживающем её аккаунте; регулярные проверки по базам утечек. VPN добавляет защиту на сетевом уровне - предотвращает перехват трафика в недоверенных сетях, - но не может компенсировать повторно используемые пароли или заражённое устройство.

Чек-лист немедленных действий: (1) Проверьте основные адреса на haveibeenpwned.com. (2) При обнаружении совпадения - смените пароль везде, где он использовался. (3) Включите 2FA на почте, в банке и облачном хранилище. (4) Установите менеджер паролей и прекратите использовать одинаковые пароли. (5) Проверьте устройства на вредоносное ПО.
Теги: privacy cybersecurity security data breach data protection internet security vpn

Читайте также