Eksperci ds. bezpieczeństwa cybernetycznego twierdzą, że jest to największy wyciek haseł w historii.

4 lipca nowo zarejestrowany użytkownik popularnego forum hakerskiego opublikował plik zawierający prawie 10 miliardów zhakowanych haseł w postaci zwykłego tekstu. Post został po raz pierwszy zauważony przez badaczy z Cybernetyka.

„W tym roku święta przyszły wcześniej” – napisał na forum użytkownik „ObamaCare”. „Przedstawiam wam nową listę haseł rockyou2024 zawierającą ponad 9,9 miliarda haseł!”

RockYou2024 wyciekła kompilacja haseł

Ta gigantyczna lista wyciekłych haseł, znana jako RockYou2024, daje hakerom ważne narzędzie, które mogą wykorzystać w ataku siłowym.

Atak siłowy to popularna metoda hakerska, w której atakujący zgaduje hasło użytkownika metodą prób i błędów. Hakerzy często używają zautomatyzowanych skryptów podczas przeprowadzania ataku siłowego, co pozwala im wypróbować mnóstwo haseł w krótkim czasie. Przy tak dużej wyciekłej bazie haseł hakerzy mają niemal nieograniczoną pulę haseł do wypróbowania.

„W swej istocie wyciek RockYou2024 jest kompilacją rzeczywistych haseł używanych przez osoby na całym świecie” – piszą badacze Cybernews. „Ujawniając, że wiele haseł dla aktorów zagrożeń znacznie zwiększa ryzyko ataków typu credential stuffing”.

Jak wskazują badacze Cybernews, lista ta może okazać się największym wyciekiem haseł w historii, bijąc poprzedni rekordzistę, RockYou2021, na którym znajdowało się około 8,4 miliarda haseł.

W rzeczywistości użytkownik forum hakerów „ObamaCare” twierdzi, że wykorzystali starszą listę i zaktualizowali ją o nowsze dane o wyciekach haseł z ostatnich trzech lat. W rezultacie do poprzedniej kompilacji dodano 1,5 miliarda haseł, aby stworzyć RockYou2024.

„Na przestrzeni ostatnich lat uaktualniłem rockyou21 nowymi danymi zebranymi z baz danych, które wyciekły na różnych forach” — napisał użytkownik forum hakerskiego, dodając, że dołączył również ostatnio zdobyte hasła.

Lista wyciekłych haseł RockYou2024 jest nowa, więc w chwili pisania tego tekstu nie jest jasne, czy jakiekolwiek prywatne dane zostały naruszone w bezpośrednim wyniku tej kompilacji.

Każdy, kto zarejestrował się w dowolnej usłudze online, powinien założyć, że hasło, którego używa, znajduje się na tej liście. Badacze cyberbezpieczeństwa zalecają użytkownikom aktualizację haseł i włączenie uwierzytelniania wieloskładnikowego, gdziekolwiek jest to możliwe.