Badacze zajmujący się cyberbezpieczeństwem w firmie Synthient odkryli kolekcję 183 milionów haseł do poczty e-mail, w tym miliony z kont Gmail, ujawnionych w ramach kampanii złośliwego oprogramowania kradnącego informacje. Dane pojawiły się w bazie Have I Been Pwned 21 października 2025 r. w związku z monitorowaniem kanałów podziemnych, co oznacza jeden z największych wycieków danych uwierzytelniających w tym roku. Google odniósł się do incydentu publicznie, odrzucając twierdzenia o bezpośrednim naruszeniu bezpieczeństwa Gmaila. W oświadczeniu w mediach społecznościowych firma oświadczyła, że „doniesienia o «naruszeniu bezpieczeństwa Gmaila, które dotknęło miliony użytkowników» są fałszywe”. Urzędnicy podkreślili, że złamane dane uwierzytelniające wynikają z infekcji złośliwym oprogramowaniem na urządzeniach poszczególnych użytkowników, a nie z jakiejkolwiek luki w infrastrukturze serwerów Gmaila. To rozróżnienie podkreśla, w jaki sposób dane zostały zgromadzone w wyniku trwałych zagrożeń wymierzonych w systemy użytkowników końcowych, a nie w wyniku awarii scentralizowanych usług. Zbiór danych powstał w wyniku prawie rocznego intensywnego monitorowania prowadzonego przez Synthient, firmę zajmującą się bezpieczeństwem cybernetycznym, skupiającą się na śledzeniu działań złodziei informacji. Badacze zaobserwowali udostępnianie i sprzedaż danych uwierzytelniających na platformach takich jak Telegram, różne serwisy społecznościowe i fora w ciemnej sieci. Te podziemne sieci służą jako centra, w których cyberprzestępcy wymieniają skradzione informacje uzyskane z zainfekowanych maszyn na całym świecie. Troy Hunt, twórca i opiekun serwisu Have I Been Pwned, analizowane zgłoszenia i potwierdził jego skalę, zauważając, że obejmuje on 3,5 terabajta danych obejmujących łącznie 23 miliardy rekordów. Aby uwierzytelnić zawartość, Hunt skontaktował się z użytkownikami wymienionymi w wycieku. Jeden z abonentów, których to dotyczyło, odpowiedział twierdząco, stwierdzając, że ujawnione informacje odpowiadają „dokładnemu hasłu do mojego konta Gmail”. Ten proces weryfikacji obejmował porównanie szczegółów ze znanymi naruszeniami i raportami użytkowników, co zapewniło legalność zbioru danych. Same rekordy składają się z określonych elementów przechwytywanych podczas interakcji użytkownika: adresów URL witryn, w których nastąpiło logowanie, powiązanych adresów e-mail i odpowiednich haseł wprowadzonych w tych witrynach. Wszystkie te informacje były zbierane automatycznie z urządzeń już zainfekowanych złośliwym oprogramowaniem, często podczas rutynowych czynności online, takich jak sprawdzanie poczty e-mail lub uzyskiwanie dostępu do portali bankowych. Analiza zbioru danych ujawnia wzorce w historii narażenia. Dokładnie 91 procent danych uwierzytelniających pojawiło się w wyniku poprzednich naruszeń danych udokumentowanych gdzie indziej. Dla kontrastu, około 16,4 miliona adresów e-mail stanowiło zupełnie nowe wpisy, nigdy wcześniej nie zidentyfikowane w żadnych rejestrach naruszeń. Uwzględnienie aktualnie aktywnych haseł zwiększa ryzyko ataków polegających na upychaniu poświadczeń, podczas których napastnicy wykorzystują te prawidłowe kombinacje, aby podjąć próbę nieautoryzowanego dostępu na wielu platformach, wykorzystując ponowne wykorzystanie danych logowania w różnych usługach. Złośliwe oprogramowanie typu Infostealer rozprzestrzeniło się jako główny wektor zagrożeń. Tylko w ciągu pierwszych sześciu miesięcy 2025 r. badacze odnotowali 800-procentowy wzrost liczby skradzionych danych uwierzytelniających. Programy te działają w ukryciu na zainfekowanych systemach, metodycznie wydobywając wrażliwe dane, w tym dane logowania, przechowywane informacje o przeglądarce i tokeny aktywnych sesji, bez wywoływania oczywistych alertów. Benjamin Brundage, badacz w firmie Synthient, szczegółowo opisał, w jaki sposób ich narzędzia nadzoru wychwytują maksymalnie 600 milionów skradzionych danych uwierzytelniających przetworzonych w ciągu jednego dnia w okresach wzmożonej aktywności złośliwego oprogramowania. Szkodnik rozprzestrzenia się głównie za pośrednictwem zwodniczych kanałów. Typowymi wektorami są e-maile phishingowe, które nakłaniają odbiorców do otwarcia złośliwych załączników lub łączy, pobieranie pozornie legalnego oprogramowania ze szkodliwym kodem oraz rozszerzenia przeglądarki, które zostały zmodyfikowane w celu uwzględnienia backdoorów. W wielu przypadkach infekcje pozostają niewykryte przez dłuższy czas, co pozwala na długotrwałą eksfiltrację danych, gdy użytkownicy kontynuują normalne korzystanie z urządzenia. W odpowiedzi Google zaleca szczególne środki ochronne dla użytkowników z grupy ryzyka. Włączenie weryfikacji dwuetapowej dodaje dodatkową warstwę zabezpieczeń wykraczającą poza hasła i wymaga drugiej formy uwierzytelnienia, np. kodu mobilnego. Firma promuje również klucze jako solidną alternatywę dla konwencjonalnych haseł, wykorzystującą standardy kryptograficzne w celu lepszej ochrony przed phishingiem i kradzieżą. Osoby fizyczne mogą sprawdzić, czy ich adresy e-mail lub dane uwierzytelniające zostały uwzględnione w tym wycieku, wyszukując w witrynie Have I Been Pwned. Osoby znajdujące dopasowania powinny niezwłocznie zaktualizować swoje hasła do unikalnych, silnych wersji i włączyć uwierzytelnianie wieloskładnikowe na wszystkich odpowiednich kontach, aby ograniczyć dalsze ryzyko.
