4 мая 2016 года компания Hold Security сообщила, что на русскоязычном андеграундном форуме была замечена едва ли не крупнейшая в истории утечка данных о почтовых аккаунтах. Неназванный хакер выставил на продажу учетные данные 272 млн аккаунтов Gmail, Yahoo, Microsoft и Mail.ru.
Хотя СМИ охотно подхватили эту историю, эксперты в области информационной безопасности полагают, что никаких реальных поводов для беспокойства нет.
Официальный отчет Hold Security гласит, что «парнишка из маленького российского городка» сумел собрать коллекцию, состоящую из более чем 1,17 млрд учетных данных. Для достижения столь впечатляющего результата, хакер якобы скрупулезно собирал данные из самых разных источников, агрегируя различные утечки. По информации Hold Security, 272 000 000 учтенных данных в этой коллекции являются уникальными. Практически все пароли представлены в виде обычного текста, зашифрованных среди них очень мало,
Hold Security пишет, что злоумышленник из российской глубинки просил за весь архив всего 50 рублей. По информацииагентства Reuters, которому глава компании — Алекс Холден (Alex Holden) дал комментарий, в базе злоумышленника содержатся учетные данные о 57 млн аккаунтов Mail.ru, 40 млн аккаунтов Yahoo Mail, 33 млн аккаунтов Hotmail и 24 млн аккаунтов Gmail. Также руководитель Hold Security уверяет, что информация о 42 000 000 аккаунтах новая, то есть специалисты компании ранее с ней не встречались.
Несмотря на эти пугающие цифры, паниковать все же рано. Многие эксперты, а также официальные представители компаний, уже опровергли «сенсационность» находки Hold Security.
Для начала стоит отметить, что сам глава Hold Security признает, что «похоже, это коллекция, собранная из различных брешей». Учитывая, что хакер продавал огромный архив по чисто символической цене, можно предположить, что актуальных данных там содержится крайне мало. Более того, в составлении такой базы, где оптом собрано всё, что только нашлось в открытом доступе, нет ничего удивительного. К примеру, подобными базами часто оперируют спамеры. То есть, никто не ломал Gmail, Yahoo, Microsoft и Mail.ru, что бы ни утверждали заголовки газет.
Известный эксперт по безопасности Трой Хант (Troy Hunt), владелец ресурса агрегирующего утечки данных — Have I Been Pwned, тоже сомневается, что означенные 272 млн учетных данных представляют какую-то угрозу.
«Я правда считаю, что это ничем непримечательно событие, которое собрало больше новостных заголовков, чем подтвержденных данных», — сказал Хант журналистам издания Vice Motherboard. — « Знаете, сколько сил мы тратим каждый раз, чтобы установить, подлинна утечка или же нет? Похоже, в данном случае ничего подобного сделано не было».
Также официальный пресс-релиз уже представила компания Mail.ru, и ее заявление еще раз подтверждает надуманность «сенсации» от Hold Security:
«Нам стало известно, что база логинов и паролей, находящаяся в распоряжении эксперта по кибербезопасности Алекса Холдена, содержит ряд логинов пользователей Почты Mail.Ru. Мы связались с Алексом и получили от него данные для анализа. Исследование первой рандомной выборки показало, что она не содержит паролей, подходящих к активным живым аккаунтам. Кроме того, обращает на себя внимание тот факт, что база содержит большое количество одних и тех же логинов с разными паролями, что свидетельствует о том, что она была скомпилирована из фрагментов разных баз, где юзеры использовали в качестве логина свою электронную почту. Мы продолжаем проверку базы и, как только у нас будет больше информации, мы предупредим пользователей, которые могли пострадать».
Стоит отметить, что в 2014 году компания Hold Security уже выявляла утечку 1,2 млрд учетных данных и более 500 млн email-адресов. Тогда компания отказалась предоставить о скомпрометированных ресурсах хоть какие-то подробности, зато поспешила запустить собственный платный сервис: Hold Security предложила любой компании свою защиту от подобных брешей всего за $120 в месяц.
Михал Салат, вирусный аналитик компании Avast:
«Если данные Алекса Холдена верны — а их еще должны подтвердить в mail.ru — эта недавняя утечка подвергает риску около 57 миллионов пользователей mail.ru — их личная информация и учетные данные могут оказаться в руках злоумышленников, — комментирует Михал Салат, вирусный аналитик компании Avast. — Однако, данные 57 миллионов пользователей mail.ru могли «просочиться» не только через сервис электронной почты, но и через другие ресурсы. Проблема всех крупных утечек данных заключается в том, что люди часто используют одни и те же пароли на разных ресурсах и не меняют их. Поэтому такие базы данных как mail.ru, Facebook или Amazon могут быть легко использованы для атаки и взлома пользователей других сервисов. К сожалению, украденные учетные данные являются популярным товаром на черном рынке и продаются большими партиями. Пользователи могут защитить себя от таких типов утечки конфиденциальной информации, если будут создавать надежные, уникальные пароли, а также периодически изменять их».
Специалисты BI.ZONE проверили сайты, сервисы и приложения более 150 российских компаний — и в первом полугодии 2025 года у 26% из них нашли вредоносные веб-скрипты, так называемые веб-шеллы. Для сравнения: в 2024 году таких случаев было немного меньше — 23%.
Самое тревожное — рост числа веб-шеллов на внешних сайтах и других публичных веб-ресурсах. Если в прошлом году они попадались в 12% случаев, то сейчас уже в 53%.
Чаще всего с этим сталкиваются туризм и ИТ: в 2025 году веб-шеллы нашли у 38% туристических компаний и у 35% ИТ-организаций. А в 2024-м ИТ-сфера вообще была абсолютным лидером — 62% всех обнаруженных случаев.
Откуда берутся веб-шеллы?
По словам Андрея Шаляпина из BI.ZONE TDR, почти 73% вредоносных скриптов были обнаружены при внедрении их решения BI.ZONE EDR — то есть задолго до запуска систем в рабочую среду. Проблема, по его словам, в нарушении базовых принципов безопасной разработки. Разработчики нередко открывают доступ к тестовым или ещё недоработанным сервисам, чтобы упростить себе жизнь. Но при этом такие системы обычно никак не защищены и не мониторятся, чем и пользуются злоумышленники.
Что делать?
BI.ZONE советует:
Не давать доступ к тестовым сервисам из интернета;
Ставить современные EDR-решения (вроде BI.ZONE EDR);
Применять поведенческий анализ, сигнатуры и YARA-правила для поиска вредоносной активности;
Распространять правила безопасности и на разработку, и на тестирование.
Но не только разработчики рискуют. BI.ZONE также выяснила, что до трети системных администраторов сами отключают защитные функции на устройствах — якобы чтобы повысить производительность. В результате более 60% серверов и рабочих станций оказываются уязвимыми из-за некорректных настроек. Всё ради удобства — но с большим риском.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
