Исследователи Cybernews обнаружили открытый Elasticsearch-сервер с 8,3 ТБ похищенных данных - около 24 миллиардов записей из 36 различных источников. Найденный в конце июня 2026 года массив объединяет свежие логи инфостилеров, Telegram-каналы с ворованными картами и прямые выгрузки из взломанных корпоративных баз данных. Значительная часть записей поступила с активных живых серверов. В датасете присутствуют учётные данные от VPN-аккаунтов, SaaS-сервисов и банковские пароли.
Что нашли и откуда это взялось
Инфостилер - это категория вредоносного ПО, которое молча извлекает сохранённые пароли браузера, сессионные куки, данные автозаполнения и файлы криптокошельков с заражённого устройства. После установки - как правило, через фишинговые письма, пиратский софт или вредоносные расширения браузера - инфостилер в считанные секунды передаёт всё найденное на командный сервер. Оператор затем продаёт полученные логи в Telegram-каналах или на даркнет-маркетплейсах.
Датасет Cybernews объединяет 36 таких источников в единый индекс для поиска. Цифра в 24 миллиарда включает дубликаты, однако исследователи выявили значительную долю уникальных пар учётных данных - адрес электронной почты в связке с паролем в открытом виде или со слабым хешем. Наличие выгрузок с живых серверов свидетельствует о том, что часть данных была актуальной на момент индексации открытого Elasticsearch-экземпляра.
Почему данные инфостилеров опаснее обычных утечек
При классической утечке злоумышленники крадут базу данных компании. Такие учётные данные обычно захешированы, могут быть устаревшими и представляют то, что пользователи ввели при регистрации. Группа ShinyHunters раскрыла 455 000 записей студентов Ноттингемского университета именно по этой схеме - имена, адреса и захешированные пароли из базы одного учреждения.
С данными инфостилеров всё иначе. Вредонос перехватывает пароли в момент ввода или при извлечении из хранилища браузера. На выходе - пара логин-пароль в открытом виде, актуальная на дату заражения. Никакого хеша для взлома нет. Инцидент Fortibleed раскрыл 86 000 VPN-учётных данных Fortinet в открытом виде через аналогичный механизм - компрометацию устройства, а не кражу базы данных.
Это означает: даже если вы всегда использовали надёжные уникальные пароли, заражение инфостилером любого из ваших устройств раскроет все учётные данные, сохранённые в браузере на тот момент. Надёжность пароля не имеет значения, если он перехватывается до момента шифрования.
Как проверить, попали ли ваши данные в базу
Несколько сервисов позволяют проверить, фигурирует ли ваш адрес электронной почты или конкретные пароли в известных базах утечек. Ни один из них не требует вводить реальный пароль - все используют криптографические методы проверки только по хешу.
- Have I Been Pwned: Самый авторитетный бесплатный сервис. Введите электронную почту, чтобы узнать, в каких утечках она фигурировала, или проверьте отдельные пароли через k-анонимный хеш - ваш полный пароль никогда не передаётся на сервер. Сервис теперь имеет отдельную категорию "Stealer Logs" специально для данных, полученных через инфостилеры.
- Cybernews Personal Data Leak Checker: Сервис тех же исследователей, которые обнаружили этот датасет. Проверяет вашу почту по собственной накопленной базе утечек, включая описанный в этой статье массив из 24 миллиардов записей.
- Firefox Monitor: Бесплатный сервис Mozilla, работающий на данных Have I Been Pwned. Обеспечивает постоянный мониторинг - отправляет уведомление на почту при появлении вашего адреса в будущих утечках.
- Google Password Checkup: Если вы сохраняете пароли в Chrome, Google сравнивает их с известными скомпрометированными парами и предупреждает о совпадениях в разделе "Проверка безопасности". Ваши пароли в открытом виде на серверы Google не передаются.
Что делать, если ваши данные обнаружены
Если любой из перечисленных сервисов обнаружил совпадение для вашей почты или паролей, реакция должна быть немедленной и систематической:
- Немедленно смените скомпрометированный пароль в затронутом сервисе. Если тот же пароль использовался в других местах - смените везде.
- Включите двухфакторную аутентификацию (2FA) на всех поддерживающих её аккаунтах. Даже зная верный пароль, злоумышленник не получит доступ без TOTP-кода или аппаратного ключа. Приложения-аутентификаторы (Google Authenticator, Authy, Aegis) надёжнее SMS-подтверждения.
- Перейдите на менеджер паролей, генерирующий уникальные случайные пароли для каждого сервиса. Если пароли не повторяются, компрометация одного аккаунта не затрагивает остальные. Bitwarden, 1Password и KeePassXC - устоявшиеся варианты.
- Проверьте устройства на заражение инфостилером. Если пароль был перехвачен вредоносом, а не украден из базы данных компании, смена пароля не удалит вредоносное ПО. Запустите полное сканирование обновлённым антивирусом и проверьте недавно установленные расширения браузера.
- Завершите активные сессии на критически важных аккаунтах (почта, банк, облачное хранилище). Большинство платформ предлагают функцию "Выйти со всех других устройств" в настройках безопасности.
Что на самом деле защищает ваши аккаунты
VPN шифрует интернет-трафик и предотвращает перехват на сетевом уровне. Он не защищает от инфостилеров, которые работают полностью на вашем устройстве до того, как данные вообще попадают в сеть. Утечка данных Carnival Cruises раскрыла паспортные данные 6 миллионов путешественников через компрометацию серверной стороны - другая точка атаки, но с теми же практическими последствиями для жертв.
Наиболее эффективная многоуровневая защита от кражи учётных данных сочетает в себе: менеджер паролей, генерирующий уникальные пары для каждого сервиса; аппаратную или программную 2FA на каждом поддерживающем её аккаунте; регулярные проверки по базам утечек. VPN добавляет защиту на сетевом уровне - предотвращает перехват трафика в недоверенных сетях, - но не может компенсировать повторно используемые пароли или заражённое устройство.