«Крупнейшая утечка в истории» оказалась сбором старых слитых баз

Исследование, опубликованное командой Cybernews, показало, что учетные данные не были украдены в результате нового взлома. Данные находились в открытом доступе лишь краткое время и представляли собранные архивы, сформированные из множества источников. Формат файлов и структура записей указывают на то, что они были скомпилированы из логов инфостилеров — вредоносных программ, крадущих пароли и другую личную информацию с зараженных устройств.

Инфостилеры активно используют хакеры для кражи данных пользователей браузеров, почтовых клиентов, криптовалютных кошельков и других приложений. При заражении устройства такие программы собирают сохраненные пароли и передают их на серверы злоумышленников. Позже эти данные продаются, обмениваются или выкладываются в открытый доступ. Зачастую файлы из логов выглядят как простые текстовые документы, в которых строки содержат адрес сайта, логин и пароль.

Несмотря на то, что некоторые записи содержат данные от популярных платформ, таких как Facebook, Google или Apple, это не означает, что эти компании были взломаны. Исследователь Боб Дьяченко подтвердил, что упомянутые сервисы не подвергались атакам, а данные, связанные с ними, попали в сеть из логов инфостилеров, заражавших устройства конечных пользователей.

Обнаруженные базы данных различаются по объему и структуре. Некоторые содержат миллионы, другие — миллиарды записей. Часть архивов названа общими терминами вроде «credentials», другие имеют указания на конкретные сервисы или географический регион. Большинство баз не содержат уникальных данных — они представляют дублирующие, плохо отсортированные массивы, объединяющие старые утечки.