To jeden z największych wycieków danych w historii internetu, ale nie taki, jakiego moglibyśmy się spodziewać. Eksperci z branży cyberbezpieczeństwa odkryli 30 baz danych zawierających łącznie 16 miliardów rekordów loginów i haseł. Co ciekawe, dane te nie pochodzą z bezpośredniego ataku na serwery Apple, Google, Facebooka czy innych gigantów technologicznych.
Infostealer zamiast klasycznego hacka
Prawda okazuje się znacznie bardziej niepokojąca. Zdecydowana większość danych została zebrana przez złośliwe oprogramowanie typu infostealer, które infekuje komputery użytkowników i systematycznie wykrada zapisane w przeglądarkach dane logowania, ciasteczka, tokeny sesyjne i inne wrażliwe informacje.
To oznacza, że problem nie leży po stronie wielkich korporacji technologicznych, ale po stronie użytkowników, których urządzenia zostały zainfekowane malwarem. Takie oprogramowanie rozprzestrzenia się głównie przez ataki phishingowe, fałszywe pobrania i zainfekowane strony internetowe, a ostatnio nawet przez filmy na TikToku.
Skala problemu większa niż myślano
Każda z odkrytych bazy danych zawiera od kilku milionów do ponad 3,5 miliarda rekordów. Co istotne, tylko jedna z nich była wcześniej opisywana w mediach – reszta to zupełnie nowe znaleziska. Wyciek obejmuje dane do praktycznie wszystkich popularnych serwisów: Apple, Google, Facebook, GitHub, Telegram, różnych VPN-ów, a nawet portali rządowych.
Ze względu na duplikaty i nakładanie się danych trudno określić dokładną liczbę unikalnych użytkowników, których dotyczy wyciek. Jedno jest pewne – skala jest ogromna.
Epidemia infostealerów w liczbach
Najnowsze dane z branży cyberbezpieczeństwa pokazują skalę problemu. Według firmy Flashpoint, infostealery wykradły 2,1 miliarda danych uwierzytelniających w 2024 roku, co stanowi prawie dwie trzecie wszystkich 3,2 miliarda skradzionych danych uwierzytelniających. To wzrost o 33% w porównaniu z poprzednim rokiem.
KELA Cyber Threat Intelligence odnotowało ponad 4,3 miliona zainfekowanych maszyn na całym świecie w 2024 roku przez infostealery takie jak Lumma stealer czy RedLine. Co niepokojące, Lumma pozostaje najpopularniejszym malwarem tego typu i był odpowiedzialny za 40,48% zainfekowanych maszyn.
Raport Huntress 2025 Cyber Threat Report podkreśla ich dominację, stwierdzając, że “infostealery napędzały prawie jedną czwartą (24%) wszystkich incydentów cybernetycznych w 2024 roku”.
Dlaczego media mylą to z atakiem na wielkie firmy?
Część mediów błędnie sugeruje, że doszło do włamania na serwery Apple, Google czy Facebooka. W bazach rzeczywiście znajdują się dane do kont w tych serwisach, ale pochodzą one z zainfekowanych urządzeń użytkowników, a nie z bezpośredniego ataku na infrastrukturę tych firm.
Jak wyjaśnia BleepingComputer, “to nie jest nowy wyciek danych, ani właściwie wcale wyciek, a strony internetowe nie zostały niedawno zhakowane w celu kradzieży tych danych uwierzytelniających”. Zamiast tego są to dane krążące w cyberprzestępczym podziemiu od miesięcy, a nawet lat. Polscy eksperci cyberbezpieczeństwa mają podobnie wyważony pogląd na sprawę.
Infostealery w akcji. Wystarczą odpowiednie finanse
Microsoft Threat Intelligence obserwował przez ostatni rok “uporczywy wzrost i operacyjne wyrafinowanie Lumma Stealer” – malware używanego przez wielu finansowo motywowanych przestępców do atakowania różnych branż.
Flashpoint wykrył również nową odmianę o nazwie FleshStealer – malware napisany w C#, który “używa szyfrowania, aby uniknąć wykrycia” i jest szczególnie skuteczny w wykrywaniu środowisk maszyn wirtualnych, aby uniknąć analizy.
Check Point ostrzega, że “nowoczesne rynki infostealerów sprawiają, że hakowanie sieci korporacyjnych i uzyskiwanie nieautoryzowanego dostępu to kwestia finansów, a nie umiejętności technicznych”. Bazy danych z logami są dostępne dla każdego, kto jest gotów zapłacić.
Problem dotyka nawet wojsko i rząd
Niepokojące odkrycia dotyczą również sektorów o najwyższym poziomie bezpieczeństwa. Hudson Rock znalazł 398 przypadków infekcji komputerów wśród pracowników firmy Honeywell, głównego amerykańskiego podwykonawcy dla obrony i lotnictwa, oraz dziesiątki infekcji wśród pracowników Boeinga (66), Lockheed Martin (55) i innych producentów działających w sektorze obronnym.
Co gorsza, “71 zainfekowanych komputerów pracowników wykryto w armii amerykańskiej, 30 w marynarce wojennej i 24 w FBI”. Logi końcowe trafiają na rynki internetowe, gdzie “można je nabyć bardzo tanio” – na przykład “komputer zawierający dane uwierzytelniające do army.mil sprzedawany za 10 dolarów”.
Czym grozi ten wyciek?
Według badaczy, “wycieki danych uwierzytelniających na taką skalę to paliwo dla kampanii phishingowych, przejęć kont, włamań ransomware i ataków Business Email Compromise (BEC)”.
Konsekwencje mogą być poważne:
- Przejęcia kont we wszystkich popularnych serwisach
- Kradzież tożsamości na masową skalę
- Wysoce spersonalizowane ataki phishingowe wykorzystujące prawdziwe dane użytkowników
- Ataki ransomware i BEC na firmy
- Ataki na portfele kryptowalut – analitycy bezpieczeństwa spodziewają się wzrostu ataków na portfele powiernicze lub platformy powiązane z dostępem e-mailowym
Międzynarodowa odpowiedź organów ścigania
Na szczęście, nie wszyscy pozostają bezczynni. Międzynarodowa akcja organów ścigania o kryptonimie “Operation Secure” została przeprowadzona w 26 krajach od stycznia do kwietnia 2025 roku, co skutkowało 32 aresztowaniami i zajęciem serwerów wspierających operacje infostealerów.
W maju 2025 roku Microsoft i organy ścigania przeprowadziły skoordynowaną akcję przeciwko operacji Lumma malware-as-a-service, zajmując około 2300 domen po działaniach prawnych przeciwko malware.
Jak się chronić? Praktyczne porady ekspertów
Skoro problem leży po stronie użytkowników, to od nas zależy ochrona. BleepingComputer zaleca: “Jeśli martwisz się, że infostealer może być obecny na twoim komputerze, przeskanuj swoje urządzenie zaufanym programem antywirusowym przed zmianą jakichkolwiek haseł”.
Podstawowe zasady bezpieczeństwa:
Techniczne środki ochrony:
- Używaj aktualnego antywirusa i regularnie aktualizuj system oraz wszystkie programy
- Wdróż narzędzia wykrywania i reakcji na zagrożenia (EDR), aby identyfikować i blokować infekcje infostealerami
- Koniecznie aktywuj wieloskładnikowe uwierzytelnianie (MFA) wszędzie, gdzie to możliwe
- Stosuj silne, unikalne hasła dla każdego konta i korzystaj z menedżera haseł
Rozsądne nawyki:
- Nie pobieraj oprogramowania z nieznanych źródeł
- Unikaj klikania w podejrzane linki w e-mailach i wiadomościach, a także bądź ostrożny z filmami na TikToku proszącymi o uruchomienie poleceń PowerShell
- Regularnie monitoruj aktywność na swoich kontach
- Używaj rozwiązań threat intelligence do wykrywania skradzionych danych uwierzytelniających
Dla przedsiębiorstw:
Eksperci zalecają “wdrożenie ulepszonych rozwiązań wykrywania i reakcji na zagrożenia (EDR), które używają analizy opartej na zachowaniu, a nie wyłącznie metod opartych na sygnaturach, aby wykrywać i izolować aktywność infostealerów w czasie rzeczywistym”.
Tykająca bomba zegarowa
Badacze specjalizujący się w tematyce cyberbezpieczeńswa twierdzą, że nowe masywne zestawy danych pojawiają się co kilka tygodni, sygnalizując, jak rozpowszechnione jest złośliwe oprogramowanie typu infostealer”. Check Point ostrzega w swoim raporcie State of Cyber Security 2025, że “w 2024 roku ataki infostealerów wzrosły o 58%”.
Paradoksalnie, ten wyciek może być bardziej niebezpieczny niż klasyczny atak na serwery firm technologicznych. Gdy dochodzi do włamania na Apple czy Google, firmy szybko reagują, łatają luki i informują użytkowników. Tutaj problem leży w milionach zainfekowanych urządzeń na całym świecie – nie ma więc jednego miejsca, które można by “naprawić”.
Warto sprawdzić, czy nasze dane nie znalazły się w wyciekach za pomocą serwisów typu Have I Been Pwned, choć najnowsze bazy mogą jeszcze nie być dostępne w popularnych checkerach.
Czytaj też: Jak bardzo możemy ufać technologii w tych czasach? Google pokazał, że nie za bardzo
Może to właśnie ten wyciek ostatecznie przekona nas wszystkich, że przyszłość cyberbezpieczeństwa leży w technologiach wykraczających poza tradycyjne hasła. Do tego czasu jednak najlepszą obroną pozostaje zdrowy rozsądek, aktualne oprogramowanie antywirusowe i wieloskładnikowe uwierzytelnianie.