Утечка на 16 миллиардов: крупнейший слив или глобальный кликбейт?
Вчера и сегодня, думаю, многие из вас наткнулись на апокалиптические заголовки в духе
"Утекло 16 миллиардов паролей Apple, Facebook, Google". История взорвала западные техномедиа, но, как это часто бывает, оставила после себя больше вопросов, чем ответов. Как продакт, я привык, что экстраординарные заявления требуют экстраординарных доказательств. Давайте вместе разберемся, что это было: крупнейшая утечка за последние два года или образцовый кликбейт-проект?
Что нам рассказали: официальная версия
Итак, 19 июня 2025 года
, а следом и
, публикуют новость: их исследовательская команда якобы обнаружила 30 незащищенных наборов данных, в сумме содержащих
16 миллиардов учетных записей.
Ключевые тезисы из статей:
- Источник данных: Утверждается, что данные, скорее всего, были собраны с помощью различных инфостилеров - малвари, которое извлекает пароли, cookie и другую чувствительную информацию прямо из браузеров и операционной системы зараженного пользователя.
- Содержимое утечки: Стандартный набор - URL сайта, логин и пароль в открытом виде. Заявлено, что затронуты все мыслимые сервисы: от гигантов вроде Apple, Google и Facebook до платформ для разработчиков (GitHub), мессенджеров (Telegram), корпоративных VPN и различных государственных порталов.
- "Свежесть" данных: Особо подчеркивается, что это не просто переупаковка старых, давно известных утечек типа
или
. Журналисты настаивают, что это преимущественно свежие, "оружейные" данные, готовые к использованию.
- Место обнаружения: Датасеты были кратковременно доступны в сети из-за неверно сконфигурированных, незащищенных инстансов Elasticsearch или в публичных облачных хранилищах (object storage).
- Масштаб и география: Для придания веса новости упоминается, что один из датасетов на 455 млн записей якобы связан с Российской Федерацией, а самый крупный, на 3.5 млрд, - с португалоязычными странами.
Звучит как начало киберпанк-антиутопии. Но здесь дьявол зарыт в деталях, а точнее, к моего удивлению, в их полном отсутствии.
Критический анализ: какие ваши доказательства?
И вот тут начинается странности. Когда от эмоций переходишь к фактам, вся конструкция начинает выглядеть шатко.
- Первоисточник, который молчит. Вся история раскручивается вокруг
и их заместителя редактора по имени
. Однако
, ни в социальных сетях самого автора нет никаких конкретных, верифицируемых доказательств. Мне пришлось перерыть почти весь интернет - ничего путного не нашёл. Нет ни семплов данных (даже анонимизированных), ни названий скомпрометированных баз, ни хешей файлов, ни ссылок на эти незащищенные инстансы - вообще ничего, что могло бы позволить независимому исследователю проверить эти утверждения. Отдельная странность - plaintext пароли. Разве эти взломанные компании могут хранить пароли в таком виде? Лично для меня это красный флаг.
- Скепсис в профессиональном сообществе. Пока обычные пользователи в панике бросились менять пароли, в
(бывший Twitter) и на профильных форумах ИБ-специалисты встретили новость с большим сомнением. Основная теория, которая там обсуждается, - журналисты могли некорректно интерпретировать данные. Например, сложить количество записей из нескольких старых и известных утечек (включая ту самую MOAB на 26 млрд записей, где было огромное количество дублей) и выдать это за новое сенсационное открытие.
- Масштаб угрозы против реальности. Да, угроза инфостилеров (
,
,
и прочие) более чем реальна. Они действительно собирают огромное количество данных. Но 16 миллиардов новых и уникальных записей за последние полгода??? Это какой-то невообразимый масштаб, требующий слаженной работы гигантской сети ботнетов, фишеров и армии кулхацкеров, тем более со столь разных и столь требовательных к безопасности ресурсов. Подобное заявление - экстраординарное, и оно требует таких же экстраординарных доказательств, которых нам нигде не предоставили. Тем более "исследователи" вообще ничего не предоставили.
Вся эта история очень напоминает попытку заработать медийный капитал на горячей теме. Берется реальная угроза (инфостилеры), к ней прикручивается пугающая, круглая, большая цифра, и все это заворачивается в обертку "эксклюзивного расследования". Результат - вирусная новость и трафик.
Так что делать? Начинать паниковать уже?
И вот мы подходим к главному вопросу. Несмотря на весь мой скепсицизм, ответ -
нет, но лучше перестраховаться.
Даже если конкретно эта "утечка на 16 миллиардов" - просто раздутая утка, она послужит напоминанием о базовой цифровой гигиене. Угроза компрометации наших данных реальна
каждый день, а не только когда об этом пишет Forbes.
Чек-лист по цифровой гигиене
- Используйте менеджер паролей. Лично я использую
.
- Включите 2FA/MFA везде, используйте Passkeys. Особенно это касается почты, мессенджеров и финансовых сервисов.
- Не храните пароли в браузере! Это самое удобное, но и самое небезопасное место. Именно оттуда инфостилеры в первую очередь и похищают ваши учетные данные.
- Регулярно проверяйтесь. Используйте сервис проверки слитых уч. данных внутри вашего парольного менеджера или сервис вроде
.
Выводы
Ситуация, на мой взгляд, странная. С одной стороны - громкие заявления от авторитетных, казалось бы, медиа. С другой - полное отсутствие фактуры и внятных доказательств, что вызывает справедливый скепсис у любого, кто привык работать с данными.
Лично я склоняюсь к тому, что мы имеем дело с сильным преувеличением или некорректной подачей информации.
