Вчера и сегодня, думаю, многие из вас наткнулись на апокалиптические заголовки в духе "Утекло 16 миллиардов паролей Apple, Facebook, Google". История взорвала западные техномедиа, но, как это часто бывает, оставила после себя больше вопросов, чем ответов. Как продакт, я привык, что экстраординарные заявления требуют экстраординарных доказательств. Давайте вместе разберемся, что это было: крупнейшая утечка за последние два года или образцовый кликбейт-проект?
Что нам рассказали: официальная версия
Итак, 19 июня 2025 года издание Cybernews, а следом и более весомый Forbes, публикуют новость: их исследовательская команда якобы обнаружила 30 незащищенных наборов данных, в сумме содержащих 16 миллиардов учетных записей.
Ключевые тезисы из статей:
Источник данных: Утверждается, что данные, скорее всего, были собраны с помощью различных инфостилеров - малвари, которое извлекает пароли, cookie и другую чувствительную информацию прямо из браузеров и операционной системы зараженного пользователя.
Содержимое утечки: Стандартный набор - URL сайта, логин и пароль в открытом виде. Заявлено, что затронуты все мыслимые сервисы: от гигантов вроде Apple, Google и Facebook до платформ для разработчиков (GitHub), мессенджеров (Telegram), корпоративных VPN и различных государственных порталов.
"Свежесть" данных: Особо подчеркивается, что это не просто переупаковка старых, давно известных утечек типа RockYou или MOAB (Mother of All Breaches). Журналисты настаивают, что это преимущественно свежие, "оружейные" данные, готовые к использованию.
Место обнаружения: Датасеты были кратковременно доступны в сети из-за неверно сконфигурированных, незащищенных инстансов Elasticsearch или в публичных облачных хранилищах (object storage).
Масштаб и география: Для придания веса новости упоминается, что один из датасетов на 455 млн записей якобы связан с Российской Федерацией, а самый крупный, на 3.5 млрд, - с португалоязычными странами.
Звучит как начало киберпанк-антиутопии. Но здесь дьявол зарыт в деталях, а точнее, к моего удивлению, в их полном отсутствии.
Критический анализ: какие ваши доказательства?
И вот тут начинается странности. Когда от эмоций переходишь к фактам, вся конструкция начинает выглядеть шатко.
Первоисточник, который молчит. Вся история раскручивается вокруг расследования Cybernews и их заместителя редактора по имени Vilius Petkauskas. Однако ни в оригинальной статье, ни в социальных сетях самого автора нет никаких конкретных, верифицируемых доказательств. Мне пришлось перерыть почти весь интернет - ничего путного не нашёл. Нет ни семплов данных (даже анонимизированных), ни названий скомпрометированных баз, ни хешей файлов, ни ссылок на эти незащищенные инстансы - вообще ничего, что могло бы позволить независимому исследователю проверить эти утверждения. Отдельная странность - plaintext пароли. Разве эти взломанные компании могут хранить пароли в таком виде? Лично для меня это красный флаг.
Скепсис в профессиональном сообществе. Пока обычные пользователи в панике бросились менять пароли, в X.com (бывший Twitter) и на профильных форумах ИБ-специалисты встретили новость с большим сомнением. Основная теория, которая там обсуждается, - журналисты могли некорректно интерпретировать данные. Например, сложить количество записей из нескольких старых и известных утечек (включая ту самую MOAB на 26 млрд записей, где было огромное количество дублей) и выдать это за новое сенсационное открытие.
Масштаб угрозы против реальности. Да, угроза инфостилеров (RedLine, Lumma, Vidar и прочие) более чем реальна. Они действительно собирают огромное количество данных. Но 16 миллиардов новых и уникальных записей за последние полгода??? Это какой-то невообразимый масштаб, требующий слаженной работы гигантской сети ботнетов, фишеров и армии кулхацкеров, тем более со столь разных и столь требовательных к безопасности ресурсов. Подобное заявление - экстраординарное, и оно требует таких же экстраординарных доказательств, которых нам нигде не предоставили. Тем более "исследователи" вообще ничего не предоставили.
Вся эта история очень напоминает попытку заработать медийный капитал на горячей теме. Берется реальная угроза (инфостилеры), к ней прикручивается пугающая, круглая, большая цифра, и все это заворачивается в обертку "эксклюзивного расследования". Результат - вирусная новость и трафик.
Так что делать? Начинать паниковать уже?
И вот мы подходим к главному вопросу. Несмотря на весь мой скептицизм, ответ - нет, но лучше перестраховаться.
Даже если конкретно эта "утечка на 16 миллиардов" - просто раздутая утка, она послужит напоминанием о базовой цифровой гигиене. Угроза компрометации наших данных реальна каждый день, а не только когда об этом пишет Forbes.
Чек-лист по цифровой гигиене
Используйте менеджер паролей. Лично я использую Bitwarden.
Включите 2FA/MFA везде, используйте Passkeys. Особенно это касается почты, мессенджеров и финансовых сервисов.
Не храните пароли в браузере! Это самое удобное, но и самое небезопасное место. Именно оттуда инфостилеры в первую очередь и похищают ваши учетные данные.
Регулярно проверяйтесь. Используйте сервис проверки слитых уч. данных внутри вашего парольного менеджера или сервис вроде Have I Been Pwned.
Выводы
Ситуация, на мой взгляд, странная. С одной стороны - громкие заявления от авторитетных, казалось бы, медиа. С другой - полное отсутствие фактуры и внятных доказательств, что вызывает справедливый скепсис у любого, кто привык работать с данными.
Лично я склоняюсь к тому, что мы имеем дело с сильным преувеличением или некорректной подачей информации, или Хабр пойми чем.
А вы что думаете, хабровчане? Поверили в утечку? Пошли менять пароли? Делитесь своим мнением в комментариях и не забудьте поставить апвоут 😉
Update от 19:22 (Мск) 20.06.2025
Всё же исследователи обновили изначальную статью и добавили скриншоты пруфов:
Также исследователи добавляют, что в утечке были обнаружены сессионные куки и токены, что позволит вредоносным акторам зайти в аккаунт в обход пароля и 2FA - они дают рекомендацию сменить пароли, активировать 2FA (я бы порекомендовал реактивировать MFA/2FA, если уже активирована, чтобы секретный токен обновился). Издание создало специальный сайт, на котором вы можете проверить, утёк ли ваш пароль.
Как и предполагалось ранее, компании Facebook, Apple, Google, Github, Zoom, Twitch, Telegram и иные не были взломаны, тогда как компьютеры пользователей этих компаний заразили инфостилерами, и уже инфостилеры похитили данные. Исследователи не знают, кто именно собрал этот дамп.
По всей видимости дамп одним из первых обнаружил Боб Дьяченко (Bob Diachenko) , исследователь безопасности, контрибьютор Cybernews, владелец SecurityDiscovery.com и тот, кто первым нашёл Mother of All Breaches. В своём X.com он написал:
"Это НЕ один источник. Дело не в самой цифре (хотя она и пугает!), а в сегодняшних масштабах и темпах роста заражений инфостилерами. Эта цифра отражает объём логов различных инфостилеров, которые были выложены в открытый доступ только с начала этого года".
Боб Дьяченко.
