24 مليار من بيانات تسجيل الدخول وكلمات المرور المسروقة تم جمعها في مكان واحد - على خادم مفتوح يمكن لأي شخص الاتصال به. الاكتشاف الذي قام به باحثو Cybernews ليس مجرد "تسريب لـ N مليون". إنها واجهة لصناعة كاملة: يقوم لصوص المعلومات بسرقة بيانات الاعتماد، وتجمع قوائم الكمبو هذه البيانات، بينما تقوم جيوش من الروبوتات بتجربتها عبر المواقع، متخفية في كل محاولة كأنها مستخدم حقيقي باستخدام بروكسيات سكنية ومحمولة. دعونا نحلل ما تم اكتشافه، كيف تعمل عملية إدخال بيانات الاعتماد (credential stuffing) ولماذا تؤثر هذه السوق السوداء أيضًا على عمليات جمع البيانات القانونية وإدارة الحسابات المتعددة.
ماذا حدث: 8.3 تيرابايت و24 مليار سجل على خادم واحد
في 12 يونيو 2026، اكتشف باحثو Cybernews مجموعة مفتوحة من Elasticsearch بحجم 8.3 تيرابايت، تحتوي على 24 مليار سجل من بيانات الاعتماد. لم تكن القاعدة محمية بكلمة مرور أو أي نوع من المصادقة - يمكن لأي شخص يعرف العنوان قراءتها. بعد فترة وجيزة من نشر الاكتشاف، تم إيقاف تشغيل الخادم، لذا لم يتمكن الباحثون من الوصول إلى مالكه.
تم جمع الكتلة من 36 مصدرًا، وهذه نقطة رئيسية. الجزء الأكبر هو ما يسمى "المجموعات" (حوالي 22.6 مليار سجل)، لكن الهيكل المتبقي مثير للاهتمام بشكل خاص:
- أكثر من 1.7 مليار سجل تم سحبها مباشرة من قنوات Telegram - أكثر من 30 من 36 مصدرًا كانت قنوات تتاجر علنًا في البيانات المسروقة؛
- حوالي 260 مليون سجل - من قنوات تشير إلى "Darkside"؛
- حوالي 150 مليون - تفريغات محلية لقاعدة بيانات؛
- حوالي 146 مليون - تجميعات من تسريبات سابقة (قوائم الكمبو).
في الداخل - ليست مجرد "البريد الإلكتروني وكلمة المرور". جزء كبير من الكتلة هو سجلات لصوص المعلومات: برامج ضارة مثل RedLine وLumma وVidar، التي تسحب كل شيء من المتصفح المصاب. تحتوي السجلات الأكثر اكتمالًا على كلمات مرور محفوظة، كوكيز الجلسة والتوكنات - بما في ذلك تلك التي تسمح بتجاوز المصادقة الثنائية، بيانات الملء التلقائي، بصمات الأجهزة وأحيانًا محافظ العملات المشفرة. عادةً ما تكون كل سجل مزودة بعنوان URL للخدمة التي تناسبها كلمة المرور - أي أنها تعليمات جاهزة "أين تسجل الدخول".
هناك نقطة مقلقة أخرى: من خلال العلامات غير المباشرة (تم العثور على روابط لمواد جديدة حتى عام 2026 داخل الكتلة) يتضح أن المالك كان يقوم بتحديث القاعدة بانتظام. هذه ليست مجرد مكب أرشيفي، بل أداة حية يتم تحديثها.
كيف يتم تحويل كلمات المرور المسروقة إلى أموال: إدخال بيانات الاعتماد
قائمة "تسجيل الدخول - كلمة المرور" بحد ذاتها غير مفيدة حتى يتم التحقق منها على مواقع حقيقية. هذا ما تفعله إدخال بيانات الاعتماد: تأخذ الروبوتات الآلية الأزواج المسروقة وتجرب تسجيل الدخول بشكل جماعي على مئات الخدمات، على أمل أن يستخدم الشخص نفس كلمة المرور في عدة أماكن.
حجم المشكلة واضح من بيانات Verizon DBIR لعام 2025. كانت إدخال بيانات الاعتماد تشكل 19% من جميع محاولات تسجيل الدخول اليومية في سجلات مزودي SSO، حيث وصلت النسبة في الشركات الكبرى إلى 25%، وفي أسوأ يوم تم تسجيله - إلى 44% من إجمالي حركة تسجيل الدخول. كانت بيانات الاعتماد المسروقة هي العامل الأول في 22% من عمليات الاختراق المؤكدة. فقط في عام 2025، تم جمع حوالي 2 مليار زوج فريد من قوائم الكمبو في الدارك نت - والآن كانت هناك 24 مليار سجل على خادم واحد.
وهنا تبدأ الجزء الذي يتعلق مباشرة بصناعة البروكسي. لتجنب الكشف في المحاولات الأولى، يقوم المهاجمون بتوجيه الطلبات عبر مجموعات من البروكسيات السكنية والمحمولة: كل محاولة تسجيل دخول تتم من عنوان IP جديد لمزود حقيقي أو مشغل محمول. بالنسبة لحماية الموقع، يبدو الأمر وكأنه ليس جهازًا مشبوهًا واحدًا يحاول الدخول ألف مرة، بل ألف "مستخدم عادي" من مدن مختلفة. الحماية الكلاسيكية بناءً على تكرار الطلبات من عنوان IP واحد تكون غير فعالة تقريبًا مع هذه التدوير.
لماذا يؤثر ذلك على جمع البيانات القانوني وإدارة الحسابات المتعددة
قد يبدو أن لا علاقة لذلك بمن يقومون بجمع البيانات بشكل قانوني، أو أتمتة SMM، أو يديرون عدة حسابات لأغراض تجارية؟ لأن أنظمة مكافحة الروبوتات لا تميز النوايا - بل تميز الأنماط. كلما زاد نشاط المهاجمين في إخفاء إدخال بيانات الاعتماد تحت حركة المرور الحية عبر IP سكنية، زادت شدة Cloudflare وAkamai وDataDome وAWS WAF في تشديد القيود على الجميع.
ومن هنا يأتي التحول في الكشف من مستوى IP إلى مستوى الهوية. اليوم، تنظر الفلاتر إلى سلوك العميل وكيف يبدو بصمته الشبكية أكثر من النظر إلى عنوانه:
- تتبع بصمة TLS وHTTP (JA3/JA4) - إذا لم يتطابق المصافحة مع المتصفح المعلن، يتم تصنيف العميل كمشبوه؛
- تحليل سلوكي للزمن - لدى الشخص الحي، الفترات الزمنية بين الإجراءات "تتأرجح"، بينما غالبًا ما تعطي السكربتات فترات زمنية متطابقة تقريبًا؛
- الانحرافات في نسبة النجاح - تسجيلات دخول نادرة ناجحة، موزعة على العديد من الحسابات، هي بصمة نموذج إدخال البيانات؛
- فراغات في الرؤوس وJavaScript - الروبوتات التي لا تقوم بتحميل الصفحة بالكامل تفقد الكوكيز والقيم التي يحددها JS.
لهذا السبب، في عام 2026، يتحول جمع البيانات بشكل متزايد إلى لعبة الهوية، وليس سباقًا على عدد IP - لقد ناقشنا بالتفصيل آلية تتبع بصمة TLS وJA4 بشكل منفصل. بالنسبة للمشاريع القانونية، فإن الاستنتاج بسيط: الجودة و"نقاء" البروكسي أصبحت أكثر أهمية من كميتها. عنوان IP الذي تم استخدامه أمس لتجربة كلمات مرور الآخرين، أصبح اليوم في قوائم الحظر الخاصة بالأنظمة ذات السمعة - ويؤثر سلبًا على حركة المرور القانونية الخاصة بك.
هناك أيضًا بُعد سمعة. أظهرت الفضائح حول شبكات الروبوتات من أجهزة التلفاز الذكية المخترقة والإغلاق الأخير لشبكات البروكسي الظل أن جزءًا من سوق "السكنية" يعتمد على مصادر مشبوهة. بالنسبة للأعمال، هذه إشارة لاختيار مزود ذو أصل شفاف لـ IP وKYC واضح، وليس أرخص مجموعة غير معروفة الجودة. توفر البروكسيات السكنية القانونية والبروكسيات المحمولة من الشبكات الموثوقة تلك السمعة "النقية" التي من أجلها يتم كل هذا - دون خطر الوقوع في نفس القطاع مع حركة مرور إدخال البيانات.
ماذا تفعل الآن
بالنسبة للمستخدم العادي، فإن الحماية الرئيسية من هذه التسريبات ليست كلمة المرور بحد ذاتها، بل عدم تكرارها. لص المعلومات الذي سرق كلمة مرورك من منتدى، يشكل خطرًا بقدر ما تناسب نفس الكلمة البريد الإلكتروني والبنك.
- كلمة مرور فريدة لكل خدمة ومدير كلمات مرور، حتى لا تضطر لتذكرها. إدخال بيانات الاعتماد يعيش فقط على إعادة الاستخدام.
- المصادقة الثنائية أو مفاتيح المرور على الحسابات الحساسة - البريد الإلكتروني، البنك، المتاجر، الشبكات الاجتماعية. حتى مع كلمة مرور مسربة، يكون من الصعب الدخول بدون العامل الثاني.
- تذكر حول توكنات الجلسة. لصوص المعلومات يسرقون الكوكيز التي تبقى بعد إدخال كلمة المرور و2FA، لذا عند الشك في الإصابة، يجب تغيير كلمة المرور وإنهاء الجلسات النشطة على جميع الأجهزة.
- لا تشغل أي شيء. لصوص المعلومات ينتشرون عبر الإعلانات الضارة، "تحديثات المتصفح" المزيفة، البرمجيات المخترقة، الغش في الألعاب، الإضافات المشبوهة وهجمات ClickFix، حيث يتم إقناع الضحية بتنفيذ الأمر بنفسها.
بالنسبة لأولئك الذين يقومون بأتمتة العمل مع المواقع بشكل قانوني، الدرس مختلف: افصل الهويات ولا تخلط بينها. مجموعة منفصلة من الحسابات - IP نظيف منفصل، ملف تعريف متصفح منفصل مع بصمة متسقة. هكذا يتم بناء سيناريوهات مكافحة الكشف، ولهذا السبب، فإن مجموعة البروكسي الرمادية الرخيصة اليوم أكثر خطورة على المشروع من عدم وجودها.
الاستنتاج
24 مليار سجل على خادم واحد غير محمي بكلمة مرور - ليست مجرد رقم قياسي من أجل الرقم القياسي، بل صورة لاقتصاد يعمل: لصوص المعلومات في المدخل، قوائم الكمبو في المنتصف، إدخال بيانات الاعتماد عبر بروكسيات سكنية في المخرج. طالما أن الناس يعيدون استخدام كلمات المرور، سيظل هذا الخط الإنتاجي مربحًا، وستكون حماية مكافحة الروبوتات أكثر صرامة. سيخسر من يتجاهل النظافة: المستخدم العادي بدون كلمات مرور فريدة و2FA - والأعمال التي تحاول التوفير في نظافة البنية التحتية. في عالم يتم فيه بناء الكشف على الهوية، وليس على IP، تصبح الرهان على الشفافية والجودة ليست ترفًا.
