Исследователи Cybernews выявили одну из крупнейших утечек учётных данных за всё время: более 16 миллиардов строк с логинами и паролями оказались в открытом доступе. Эти массивы, по их оценке, в основном сформированы стилерами — вредоносными программами, извлекающими чувствительные данные с заражённых устройств.

С начала 2025 года специалисты обнаружили 30 независимых наборов данных. Каждый из них содержал от десятков миллионов до более чем 3,5 миллиарда записей. Общий объём превысил 16 миллиардов строк. По словам экспертов, новые дампы появляются каждые несколько недель, что указывает на высокую активность инфостилеров.

Средний объём одной базы — около 550 миллионов записей. Самая маленькая содержала чуть более 16 миллионов строк и была названа в честь конкретного вредоносного ПО. Самая крупная, предположительно связанная с португалоязычным сегментом, включала свыше 3,5 миллиарда учётных данных.

Некоторые базы назывались нейтрально — «logins», «credentials», и это затрудняло анализ. Другие имели имена, намекающие на платформу или страну происхождения. Например, один файл содержал 455 миллионов строк и, судя по названию, был связан с российскими аккаунтами. Ещё один включал 60 млн записей и упоминал Telegram.

Во всех случаях структура данных была схожа: URL-адрес, логин, пароль. Многие файлы включали токены, cookies и прочие метаданные — стандартный результат работы стилеров. Это делает утечку особенно опасной для компаний, не использующих многофакторную аутентификацию или не контролирующих пароли сотрудников.

Базы были временно доступны через незащищённые Elasticsearch и object storage-серверы. Это позволило исследователям получить к ним доступ, но не выявить владельцев. Вероятно, часть информации принадлежала киберпреступникам, а другая — могла быть собрана исследователями или агрегаторами утечек. В любом случае, такие массивы дают преступникам мощный инструмент для масштабных атак.

Даже при низкой эффективности — менее 1% — такие дампы позволяют скомпрометировать миллионы пользователей, получить доступ к финансовым сервисам и использовать их в фишинговых и мошеннических кампаниях.

Среди прочего, в базах фигурируют данные, относящиеся к Apple, Facebook, Google, Telegram, GitHub и различным государственным платформам. Некоторые файлы содержат бизнес-данные и зашифрованные объекты, что может указывать на корпоративное происхождение.

На фоне новой находки эти утечки выглядят как звенья в цепочке. Текущие базы содержат как устаревшие, так и свежие данные, пригодные для немедленного использования. Это не «рециклинг» — это живой, актуальный массив для киберэксплуатации.