Публикация в популярен форум за течове на данни привлече вниманието в началото на годината, след като потребител с псевдоним Adkka72424 заяви, че е събрал 6 839 584 670 уникални имейл адреса в единна база данни с размер около 150GB.

Според автора на публикацията:

„Преди две години получих над 3.3 милиарда уникални имейл адреса. След пауза отново започнах и в продължение на около два месеца извличах имейли от различни combo файлове, ULP колекции, логове и бази данни.“

Твърдението предполага мащабна агрегация на данни, събрани от предходни пробиви, инфостийлъри и незаконно разпространявани бази.

6.8 милиарда реда – но колко са реалните имейли?

Разследване на изследователи по киберсигурност установява, че в набора действително има над 6.8 милиарда реда. Това обаче не означава 6.8 милиарда валидни и уникални имейл адреса.

Анализът показва:

• множество невалидни имейл формати

• дублирани записи

• фалшиви или тестови акаунти

След елиминиране на неизползваемите и повтарящите се записи, реалният брой уникални имейли вероятно се доближава до около 3 милиарда.

Дори тази редуцирана стойност представлява изключително сериозна заплаха.

Защо подобна база е ценна за киберпрестъпници?

В ерата на автоматизираните фишинг кампании мащабът е ключов фактор.

Ако приемем, че:

• 3 милиарда адреса са валидни

• само 0.001% от получателите кликнат върху злонамерена връзка

Това би означавало 30 000 потенциални жертви – достатъчно за мащабна малуер кампания или финансова измама.

Изследователите отбелязват, че подобен списък може да служи като:

• инструмент за сравнение с нови течове

• филтър за идентифициране на „свежи“ компрометирани акаунти

• времеспестяваща база за таргетирани атаки

Това позволява на заплахите да се фокусират само върху новоизтекли идентификационни данни.

Повече от имейли – вероятно и пароли

Инфостийлър логовете и combo колекциите обикновено съдържат комбинации от:

• имейл адрес

• парола

• URL на услуга

Възможно е публикуваната версия да съдържа само имейли, докато пълният набор от идентификационни данни да е запазен за лична употреба или за продажба в затворени среди.

Това е честа практика – публично се споделя част от данните за привличане на внимание, а пълната база остава скрита.

„Осведоменост“ или опит за легитимация?

Авторът твърди, че целта му е да „повиши осведомеността“ и да привлече вниманието на известни експерти по киберсигурност.

Той коментира:

„Ако откриете данните си вътре, лошата новина е, че тези, на които сте ги поверили, не са ги защитили добре.“

Въпреки това подобни действия представляват разпространение на компрометирана информация, независимо от заявените мотиви.

Проблемът с „милиардите записи“ – новата нормалност

Преди десетилетие съхранението на милиарди записи беше по силите предимно на държавни структури. Днес подобни обеми се обработват от:

• организирани киберпрестъпни групи

• оператори на инфостийлъри

• агрегатори на течове

През последните месеци бяха разкрити:

• Elasticsearch клъстер с 8.7 милиарда записа

• незащитена база с 4.3 милиарда записа

• колекции с общо 16 милиарда идентификационни данни

Мащабът вече не шокира. Той се нормализира.

Какво означава това за организациите и потребителите?

Основният риск не е в това, че имейлът ви присъства в база.
Проблемът възниква, когато:

• използвате една и съща парола на множество места

• липсва многофакторна автентикация

• организациите не следят за изтичане на идентификационни данни

Съвременните атаки разчитат на автоматизация и обем. Дори минимален процент успех води до хиляди компрометирани акаунти.