Eksperci ds. cyberbezpieczeństwa ostrzegają przed jednym z największych wycieków danych uwierzytelniających w historii – w sieci ujawniono ponad 183 miliony haseł do kont e-mail, w tym dziesiątki milionów powiązanych z kontami Gmail. Odkrycie pochodzi od Troy’a Hunta, australijskiego badacza bezpieczeństwa prowadzącego platformę Have I Been Pwned, który poinformował o wykryciu 3,5 terabajta skradzionych danych w październiku 2025 roku. Dane pochodzą z rocznego śledztwa dotyczącego sieci złośliwego systemu typu “infostealer”, które potajemnie wydobywa nazwy użytkowników, hasła i adresy URL z zainfekowanych urządzeń.
Wyciek nie był wynikiem bezpośredniego włamania na serwery Google czy innych dostawców poczty elektronicznej, ale efektem działania złośliwego systemu infostealerów, które infiltrują indywidualne komputery użytkowników i wykradają dane logowania przechowywane w przeglądarkach i aplikacjach. Firma bezpieczeństwa Synthient, która zebrała te logi, podała, iż rekordy pochodziły z nielegalnych internetowych rynków i podziemnych kanałów na Telegramie, gdzie hakerzy dystrybuują skradzione dane uwierzytelniające hurtowo. Benjamin Brundage, analityk w Synthient, systematycznie zbierał dane ze źródeł takich jak kanały Telegram, fora i platformy społecznościowe przez niemal rok, gromadząc około 3,5 terabajta danych obejmujących szacowane 23 miliardy wierszy. Hunt potwierdził, iż po deduplikacji z bazą Have I Been Pwned, 92 procent zestawu danych stanowiło już znany materiał, ale pozostało 183 miliony unikalnych adresów dla HIBP oraz dodatkowo 16,4 miliona, które nigdy wcześniej nie pojawiły się w żadnych naruszeniach.
Co szczególnie niepokojące, wiele haseł było przechowywanych w postaci zwykłego tekstu (plaintext) wraz z nazwą witryny, na której były używane. Hunt wyjaśnił w poście na blogu, iż wyciekłe dane obejmują zarówno “logi stealer” – pliki danych generowane przez złośliwe oprogramowanie infostealerów – jak i listy przeznaczone do ataków credential stuffing, gdzie atakujący próbują użyć tych samych kombinacji e-mail i hasła na wielu różnych serwisach. Zestaw danych zawierał 183 miliony unikalnych kont, a około 16,4 miliona adresów e-mail nie pojawiło się w żadnym poprzednim naruszeniu danych. Google gwałtownie zareagowało na doniesienia medialne, podkreślając, iż twierdzenia o unikalnym naruszeniu bezpieczeństwa dla Gmaila są fałszywe i iż systemy obronne Gmaila pozostają silne. Firma potwierdziła jednak, iż jest świadoma wycieku i zauważyła, iż dane uwierzytelniające zostały zebrane za pośrednictwem złośliwego oprogramowania, phishingu i fałszywych aplikacji do pobrania – nie poprzez bezpośredni atak na infrastrukturę Google.
Użytkownicy mogą sprawdzić, czy ich dane uwierzytelniające zostały naruszone, odwiedzając stronę HaveIBeenPwned.com i wpisując swój adres e-mail. jeżeli ich informacje zostaną oflagowane, strona poda szczegóły dotyczące czasu i charakteru naruszenia, wyświetlając oś czasu pokazującą, kiedy nastąpiło naruszenie i jakie informacje zostały skradzione. jeżeli konto użytkownika zostało naruszone lub mogło zostać naruszone, eksperci zalecają szereg stosunkowo prostych działań: natychmiastową zmianę hasła do poczty e-mail oraz włączenie uwierzytelniania dwuskładnikowego. Hunt podkreślił wagę sprawy: “Jeśli jesteś jedną ze 183 milionów osób dotkniętych tym problemem, musisz natychmiast zmienić hasło do poczty e-mail i włączyć uwierzytelnianie dwuskładnikowe, jeżeli jeszcze tego nie zrobiłeś”. Dwuetapowa weryfikacja dodaje dodatkową warstwę bezpieczeństwa do konta, dzięki czemu choćby haker, który ukradł hasło użytkownika, nie będzie mógł uzyskać dostępu samym hasłem. Eksperci ostrzegają również, iż ataki credential stuffing mogą zagrozić licznym kontom, jeżeli ofiary ponownie używają swoich haseł w różnych serwisach. Incydent ten ilustruje ewoluującą naturę zagrożeń cyberbezpieczeństwa – odejście od dużych, jednorazowych naruszeń platform w kierunku ciągłego strumienia skradzionych danych uwierzytelniających gromadzonych za pośrednictwem złośliwego oprogramowania.
