Największy wyciek danych w historii internetu: skradziono ponad miliard haseł

To, co przez lata wydawało się czarnym scenariuszem specjalistów od cyberbezpieczeństwa, właśnie stało się faktem. W internecie pojawił się największy w historii wyciek danych – ponad 1,3 miliarda haseł i blisko dwa miliardy unikalnych adresów e-mail zostały ujawnione w sieci. Dane, zebrane przez cyberprzestępców na przestrzeni wielu lat, trafiły do publicznego obiegu i są już dostępne w bazie projektu „Have I Been Pwned” (HIBP), prowadzonego przez znanego eksperta ds. bezpieczeństwa Troya Hunta.

Zgodnie z jego analizą, aż 625 milionów z ujawnionych haseł nigdy wcześniej nie figurowało w żadnych wcześniejszych wyciekach, co oznacza, że dla milionów użytkowników może to być pierwsze ostrzeżenie, że ich dane są w niebezpieczeństwie.

Skala wycieku bez precedensu

Jak ustalono, dane nie pochodzą z jednego źródła, lecz stanowią zbiór pochodzący z tysięcy wcześniejszych włamań do różnych serwisów, platform i forów internetowych. Zostały one połączone i udostępnione przez cyberprzestępców z wykorzystaniem tzw. credential stuffing – techniki polegającej na automatycznym testowaniu znanych par login–hasło na innych stronach.

Problem polega na tym, że wciąż wielu internautów korzysta z tych samych haseł w wielu miejscach. To wystarczy, by przestępcy mogli przejąć dostęp do kont bankowych, skrzynek mailowych czy profili w mediach społecznościowych – często bez jakiegokolwiek śladu włamania.

Miliony aktywnych haseł nadal w użyciu

Podczas testów kontrolnych Troy Hunt zauważył, że wiele z wykradzionych haseł nadal jest aktywnie używanych – część z nich ma nawet ponad dziesięć lat. Jeden z użytkowników, po sprawdzeniu swojego konta, odkrył, że jego aktualne hasło widnieje w bazie wycieków i natychmiast zmienił je we wszystkich serwisach.

Co gorsza, wśród danych znalazło się 394 miliony adresów Gmail, jednak – jak uspokaja Hunt – nie oznacza to włamania do systemu Google. Dane pochodzą z ponad 32 milionów różnych domen, co pokazuje, że to rezultat długotrwałego gromadzenia danych przez wiele lat, a nie jednorazowego ataku.

Jak sprawdzić, czy twoje dane wyciekły

Eksperci zalecają natychmiastową reakcję. Wystarczy wejść na stronę haveibeenpwned.com i wpisać swój adres e-mail, aby sprawdzić, czy dane logowania znalazły się w wycieku.

Jeśli wynik okaże się pozytywny – lub jeśli nie masz pewności – warto wykonać kilka prostych kroków:

1. Zmień wszystkie hasła – szczególnie w banku, e-mailu i mediach społecznościowych.

2. Nie używaj tego samego hasła w kilku serwisach.

3. Zainstaluj menedżer haseł, który generuje i przechowuje silne, unikalne kombinacje.

4. Włącz dwuetapową weryfikację (2FA) wszędzie tam, gdzie to możliwe.

5. Regularnie monitoruj swoje konta bankowe i pocztowe – drobne, podejrzane operacje mogą być pierwszym sygnałem, że ktoś używa twoich danych.

Kto stoi za atakiem?

Według ustaleń niemieckiego Federalnego Urzędu Kryminalnego (BKA) oraz partnerów w Kanadzie i USA, dane zostały ujawnione przez grupę operującą z wykorzystaniem narzędzia Synthient Threat Intelligence. To nie klasyczny „hack” na konkretne serwery, ale gigantyczna kompilacja starych i nowych danych, które przez lata krążyły w podziemiu internetu.

Dzięki współpracy międzynarodowej służbom udało się już zabezpieczyć część infrastruktur używanych przez sprawców. Śledztwo trwa, jednak eksperci przyznają, że skala procederu jest tak duża, iż pełne usunięcie danych z sieci jest już niemożliwe.

Bezpieczeństwo cyfrowe – mit komfortu

Największy wyciek danych w historii jest brutalnym przypomnieniem, że cyfrowe bezpieczeństwo to nie jednorazowe działanie, ale codzienna praktyka. Zmiana haseł, unikalne loginy i dwuetapowa autoryzacja powinny być standardem – nie luksusem.

Bo w epoce, gdy miliardy danych krążą w sieci, jedno zapomniane hasło może kosztować nas znacznie więcej niż odrobinę wygody.