باحثون يعثرون على 24 مليار بيانات اعتماد مسروقة في مخزن بيانات infostealer حجمه 8.3 تيرابايت ترك مكشوفاً على الإنترنت
اكتشف باحثو Cybernews ما يصفونه بأنه واحد من أكبر تسريبات بيانات الاعتماد على الإطلاق: كتلة Elasticsearch غير محمية تحتوي على 24 مليار سجل يبلغ مجموعها أكثر من 8.3 تيرابايت من البيانات. تم العثور على المجموعة في 12 يونيو 2026، وتم إخراج قاعدة البيانات من الخدمة أو تأمينها بحلول 15 يونيو. بينما أغلقت نافذة التعرض الفوري، فإن البيانات نفسها – التي تم تجميعها من سجلات برمجيات infostealer الخبيثة وقنوات Telegram ومجموعات الاختراق الحالية – لا تزال متداولة أينما تم مشاركتها قبل الاكتشاف.
يضع الحجم هذا التسريب في فئة خاصة به. مجموعة RockYou2021 لعام 2021، التي يُستشهد بها على نطاق واسع كأكبر قائمة بيانات اعتماد منشورة على الإطلاق، احتوت على 8.4 مليار سجل. وسعت إصدار RockYou2024 لعام 2024 ذلك إلى ما يقرب من 10 مليارات. مع 24 مليار سجل، هذه المجموعة أكبر من ضعف أي من تلك، والتكوين مهم: على عكس المجموعات الأقدم التي تتكون في الغالب من بيانات معاد تدويرها، جزء كبير من هذا التسريب يأتي من سجلات infostealer جديدة، مما يعني بيانات اعتماد مسروقة حديثاً لم يتم تغييرها على نطاق واسع بعد.
ما هي سجلات Infostealer ولماذا هي أسوأ من تسريبات قواعد البيانات
قواعد بيانات الاختراق التقليدية تحتوي على بيانات اعتماد مسروقة عند اختراق خدمة معينة – وهي تميل إلى تضمين كلمات مرور مشفرة (hashed) تتطلب فك التشفير وغالباً ما تكون قديمة بسنوات بحلول وقت ظهورها في التسريبات. سجلات infostealer مختلفة. يتم إنشاؤها بواسطة برمجيات خبيثة تعمل على الأجهزة المصابة: برنامج يلتقط كلمات المرور المخزنة في المتصفح، وبيانات الاعتماد الخاصة بالإكمال التلقائي (autofill)، وملفات تعريف الجلسة (session cookies) كنص عادي في لحظة استخدامها.
هذا يعني أن سجلات infostealer تحتوي على بيانات اعتماد عاملة حتى تاريخ الإصابة. إنها تتجاوز الحاجة إلى فك التشفير. غالباً ما تتضمن عنوان URL الخاص بتسجيل الدخول المرتبط، مما يجعل من السهل مطابقة كلمة المرور مع الخدمة التي تفتحها. ولأنها تسحب بيانات الاعتماد من تخزين متصفح الجهاز المصاب، فإنها غالباً ما تلتقط كلمات المرور التي لم يغيرها المستخدمون منذ سنوات – تلك الموجودة في مدير كلمات المرور أو الإكمال التلقائي للمتصفح والتي توقفوا عن التفكير فيها.
تم تجميع الـ 24 مليار سجل في هذه المجموعة من 36 مصدراً مختلفاً على الأقل: قنوات Telegram المختلفة حيث يبيع مشغلو infostealer السجلات، ومجموعات الاختراق الحالية، وما يصفه الباحثون بأنه بيانات يبدو أنها تم تصديرها مباشرة من خوادم حية، مما يشير إلى أن جزءاً من البيانات كان نشطاً مؤخراً جداً.
من وجدها وماذا حدث
حدد فريق أبحاث Cybernews قاعدة البيانات المكشوفة في 12 يونيو كجزء من المسح المستمر لمثيلات التخزين السحابي وقواعد البيانات المعرضة للجمهور. كانت الكتلة قابلة للوصول دون مصادقة – خطأ في التكوين ترك جميع الـ 8.3 تيرابايت قابلة للقراءة لأي شخص يعثر على عنوان IP. لم يتم تحديد مالك قاعدة البيانات علناً. يتكهن الباحثون بأن البيانات قد تنتمي إما إلى جهة تهديد تستخدمها كقاعدة بيانات تشغيلية لبيانات الاعتماد، أو شركة أمنية تجمع بيانات الاختراق لخدمات المراقبة – على الرغم من أن التعرض النصي العادي وغياب أي ضوابط وصول واضحة يجعل نظرية الشركة الأمنية أقل قبولاً.
تم تأمين قاعدة البيانات أو إخراجها من الخدمة بحلول 15 يونيو، بعد ثلاثة أيام من الاكتشاف. فترة التعرض غير المحمي غير معروفة – ربما كانت أياماً أو أشهراً.
خطر حشو بيانات الاعتماد (Credential Stuffing)
الخطر العملي من هذا النوع من التسريب هو حشو بيانات الاعتماد: أدوات آلية تأخذ أزواج اسم المستخدم وكلمة المرور من قواعد بيانات الاختراق وتختبرها مقابل الخدمات الحية على نطاق واسع. الخدمات التي لا تفرض تحديد معدل الطلبات (rate limiting)، أو حظر IP، أو المصادقة متعددة العوامل إلزامية هي الأكثر عرضة للخطر.
يؤكد باحثو الأمن والبائعين بما في ذلك Malwarebytes وTechRadar، وكلاهما غطى إفصاح Cybernews، على أن المستخدمين الأكثر خطورة هم أولئك الذين يعيدون استخدام كلمات المرور عبر الخدمات – وهو ما يمثل غالبية المستخدمين وفقاً لمعظم الاستطلاعات. بيانات الاعتماد في هذا التسريب التي تطابق كلمة مرور البنك، أو كلمة مرور البريد الإلكتروني، أو كلمة مرور VPN الخاصة بالشركة، تخلق خطراً فورياً للاستيلاء على الحساب بغض النظر عن مكان سرقة بيانات الاعتماد أصلاً.
ما يجب فعله
النصيحة القياسية تنطبق وتبقى الإجابة الصحيحة: استخدم مدير كلمات مرور لإنشاء كلمات مرور فريدة لكل خدمة، فعّل المصادقة متعددة العوامل أينما كانت متاحة، وراقب تنبيهات نشاط الحساب من مزودي البريد الإلكتروني والخدمات المالية. من المتوقع أن تستهلك خدمات مثل HaveIBeenPwned بيانات الاعتماد بهذا الحجم بمجرد أن تتاح من قبل الباحثين – التحقق من عنوان بريدك الإلكتروني هناك في الأيام القادمة أمر يستحق العناء.
لفرق الأمن في المؤسسات: يجب التعامل مع هذا التسريب كمحفز لتدقيق ما إذا كانت أي من بيانات اعتماد الموظفين تظهر في قواعد بيانات الاختراق المتاحة للجمهور وتنفيذ إعادة تعيين كلمة المرور لأي تطابق. نظراً لأن البيانات تم تجميعها من سجلات infostealer، فإن بيانات اعتماد الشركات من الموظفين الذين لديهم أجهزة شخصية مصابة معرضة للخطر بشكل خاص.
Originally reported by Cybernews. Read the original article for additional details.
View original source