Specjalista d.s. cyberbezpieczeństwa Jeremiah Fowler odkrył niezabezpieczoną bazę danych zawierającą ponad 184 miliony danych logowania do różnych serwisów internetowych. W bazie znajdowały się adresy e-mail, nazwy użytkowników, hasła (w większości w postaci jawnej) oraz adresy URL serwisów, do których te dane należały. Wśród nich były popularne platformy takie jak Microsoft, Google, Facebook, Instagram, Snapchat, Roblox, Discord, Netflix, Paypal, Amazon, Apple, Nintendo, Spotify oraz WordPress.

W próbce 10 000 rekordów Fowler znalazł także dane logowania do aplikacji bankowych, portfeli cyfrowych oraz portali rządowych z 29 różnych państw. Część haseł była nadal aktualna, co potwierdzili niektórzy skontaktowani użytkownicy.

Nie wiadomo, jak długo baza była dostępna publicznie ani kto ją stworzył. Po zgłoszeniu sprawy do firmy hostingowej World Host Group, gdzie opublikowano pliki, baza została szybko usunięta. Istnieje jednak spore ryzyko, że inne osoby mogły wcześniej pobrać te dane.

Fowler podejrzewa, że dane zostały zebrane głównie przez złośliwe oprogramowanie typu malware, choć możliwe jest także, że pochodzą z wcześniejszych wycieków i zostały po prostu zebrane w jednym miejscu.

Jak są w związku z tym zalecenia dla użytkowników? Takie jak zawsze:

  • Regularnie sprawdzać, czy ich dane nie pojawiły się w znanych wyciekach (np. przez HaveIBeenPwned).
  • Zmieniać hasła na silniejsze i nie używać tych samych haseł w różnych serwisach.
  • Korzystać z dwuskładnikowego uwierzytelniania (2FA), aby dodatkowo zabezpieczyć swoje konta.