۲۴ میلیارد نام کاربری و رمز عبور دزدیده شده در یک مکان جمعآوری شدهاند — بر روی یک سرور باز که هر کسی میتوانست به آن متصل شود. کشف محققان Cybernews — نه تنها یک «نشت اطلاعاتی به تعداد N میلیون». این یک ویترین از یک صنعت کامل است: اطلاعاتدزدان اطلاعات کاربری را دزدیده و لیستهای ترکیبی آنها را جمعآوری میکنند، و ارتشهای رباتها آنها را از طریق وبسایتها عبور میدهند و هر تلاش را به عنوان یک کاربر واقعی با استفاده از پروکسیهای مقیم و موبایل پنهان میکنند. بررسی میکنیم که چه چیزی پیدا شده، چگونه جایگزینی حسابها (credential stuffing) انجام میشود و چرا این بازار سیاه به وباسکرپینگ قانونی و چندحسابی آسیب میزند.
چه اتفاقی افتاد: ۸.۳ ترابایت و ۲۴ میلیارد رکورد در یک سرور
در تاریخ ۱۲ ژوئن ۲۰۲۶، محققان Cybernews یک خوشه باز Elasticsearch به حجم ۸.۳ ترابایت را کشف کردند که ۲۴ میلیارد رکورد با اطلاعات کاربری در آن قرار داشت. این پایگاه داده نه با رمز عبور و نه با هیچ نوع احراز هویتی محافظت نشده بود — هر کسی که آدرس را میدانست میتوانست آن را بخواند. به زودی پس از انتشار این کشف، سرور به حالت آفلاین درآمد و بنابراین محققان نتوانستند به مالک آن دسترسی پیدا کنند.
این مجموعه از ۳۶ منبع جمعآوری شده است و این یک جزئیات کلیدی است. بخش عمدهای از آن — به اصطلاح «مجموعهها» (حدود ۲۲.۶ میلیارد رکورد)، اما ساختار بقیه به ویژه قابل توجه است:
- بیش از ۱.۷ میلیارد رکورد به طور مستقیم از کانالهای تلگرام جمعآوری شدهاند — بیش از ۳۰ از ۳۶ منبع کانالهایی بودند که به طور علنی دادههای دزدیده شده را معامله میکنند؛
- حدود ۲۶۰ میلیون رکورد — از کانالهایی با ارجاعات به «Darkside»؛
- حدود ۱۵۰ میلیون — دامپهای محلی پایگاه داده؛
- حدود ۱۴۶ میلیون — ترکیبهایی از نشتهای قبلی (لیستهای ترکیبی).
درون این دادهها — نه تنها «ایمیل و رمز عبور». بخش قابل توجهی از این مجموعه — لاگهای اطلاعاتدزدان: بدافزارهایی مانند RedLine، Lumma و Vidar که هر چیزی را از مرورگر آلوده استخراج میکنند. در لاگهای کاملتر، رمزهای عبور ذخیره شده، کوکیهای سشن و توکنها — از جمله آنهایی که اجازه میدهند احراز هویت دو مرحلهای را دور بزنند، دادههای پر کردن خودکار، اثر انگشت دستگاه و گاهی کیف پولهای رمزنگاری وجود دارد. هر رکورد معمولاً با URL سرویسی که رمز عبور به آن مربوط میشود، همراه است — یعنی دستورالعمل آماده «کجا وارد شوید».
یک نکته نگرانکننده دیگر: بر اساس نشانههای غیرمستقیم (درون مجموعه، لینکهایی به مطالب جدید تا سال ۲۰۲۶ پیدا شده است) مشخص است که مالک به طور منظم پایگاه داده را بهروزرسانی میکرده. این یک زبالهدانی آرشیوی نیست، بلکه یک ابزار زنده و بهروز است.
چگونه از رمزهای عبور نشت کرده پول در میآورند: جایگزینی حسابها
فهرست «نام کاربری-رمز عبور» به خودی خود بیفایده است، تا زمانی که آن را در وبسایتهای واقعی بررسی نکنند. این کار توسط credential stuffing — جایگزینی حسابها انجام میشود: رباتهای خودکار جفتهای دزدیده شده را میگیرند و به طور انبوه سعی میکنند در صدها سرویس وارد شوند، با این امید که فردی از یک رمز عبور در چندین مکان استفاده میکند.
مقیاس مشکل به خوبی در دادههای Verizon DBIR برای سال ۲۰۲۵ دیده میشود. جایگزینی حسابها به طور میانگین ۱۹٪ از تمام تلاشهای روزانه ورود در لاگهای ارائهدهندگان SSO را تشکیل میداد، در شرکتهای بزرگ این سهم به ۲۵٪ میرسید و در بدترین روز ثبت شده — به ۴۴٪ از کل ترافیک ورود. اطلاعات دزدیده شده نقطه شروع ۲۲٪ از هکهای تأیید شده بودند. تنها در سال ۲۰۲۵، حدود ۲ میلیارد جفت منحصر به فرد از لیستهای ترکیبی دارکنت جمعآوری شد — و حالا در یک سرور ۲۴ میلیارد رکورد وجود داشت.
و اینجا جایی است که بخشی شروع میشود که مستقیماً به صنعت پروکسی مربوط میشود. برای اینکه در همان تلاشهای اولیه شناسایی نشوند، مهاجمان درخواستها را از طریق استخرهای پروکسی مقیم و موبایل عبور میدهند: هر تلاش ورود با یک آدرس IP جدید از یک ارائهدهنده واقعی یا اپراتور موبایل انجام میشود. برای حفاظت از وبسایت، این به عنوان یک ماشین مشکوک که هزار بار تلاش میکند به نظر نمیرسد، بلکه به عنوان هزار «کاربر عادی» از شهرهای مختلف به نظر میرسد. حفاظت کلاسیک بر اساس فرکانس درخواستها از یک IP در چنین چرخشی تقریباً بیفایده است.
چرا این به وباسکرپینگ قانونی و چندحسابی آسیب میزند
به نظر میرسد که چه ربطی به کسانی که به طور قانونی دادهها را جمعآوری میکنند، اتوماسیون SMM انجام میدهند یا چندین حساب برای کسب و کار دارند؟ به این دلیل که سیستمهای ضد ربات تمایز بین نیتها قائل نمیشوند — آنها الگوها را تشخیص میدهند. هر چه مهاجمان فعالتر تلاش کنند تا جایگزینی حسابها را تحت ترافیک زنده از طریق IPهای مقیم پنهان کنند، Cloudflare، Akamai، DataDome و AWS WAF سختگیرانهتر برای همه محدودیتها را اعمال میکنند.
از این رو — تغییر تشخیص از سطح IP به سطح هویت. امروزه فیلترها به اندازه آدرس به رفتار مشتری و نحوه نمایش اثر انگشت شبکهاش توجه میکنند:
- فینگرپرینتینگ TLS و HTTP (JA3/JA4) — اگر دست دادن با مرورگر اعلام شده مطابقت نداشته باشد، مشتری به عنوان مشکوک علامتگذاری میشود؛
- تحلیل رفتاری زمانبندی — در یک انسان زنده، وقفهها بین اقدامات «شناور» هستند، در حالی که اسکریپتها اغلب فواصل تقریباً یکسانی را تولید میکنند؛
- anomالیها در نسبت موفقیتها — ورودهای نادر موفق، پراکنده در بین چندین حساب — امضای مشخصهای از استافینگ؛
- فاصلهها در هدرها و JavaScript — رباتها، که صفحه را به طور کامل رندر نمیکنند، کوکیها و مقادیر را که JS تنظیم میکند، از دست میدهند.
به همین دلیل است که در سال ۲۰۲۶، وباسکرپینگ به طور فزایندهای به یک بازی هویتها تبدیل میشود، نه یک مسابقه برای تعداد IP — ما به طور مفصل مکانیک فینگرپرینتینگ TLS و JA4 را جداگانه بررسی کردیم. برای پروژههای قانونی نتیجه ساده است: کیفیت و «پاکی» پروکسی اکنون مهمتر از تعداد آنهاست. IP که دیروز برای حدس زدن رمزهای عبور دیگران استفاده میشد، امروز در لیستهای سیاه سیستمهای اعتبارسنجی قرار دارد — و ترافیک قانونی شما را به همراه میآورد.
یک بعد اعتبارسنجی نیز وجود دارد. رسواییها در مورد باتنتها از تلویزیونهای هوشمند هک شده و حذف اخیر شبکههای پروکسی سایه نشان داد که بخشی از بازار «مقیم» از منابع مشکوک تغذیه میشود. برای کسب و کار، این یک سیگنال است که ارائهدهندهای با منبع IP شفاف و KYC واضح انتخاب کند، نه ارزانترین استخر با کیفیت نامشخص. پروکسیهای مقیم قانونی و پروکسیهای موبایل از شبکههای معتبر همان «اعتبار پاک» را ارائه میدهند که به خاطر آن همه چیز آغاز میشود — بدون خطر قرار گرفتن در یک بخش با ترافیک credential-stuffing.
چه کارهایی باید همین حالا انجام دهید
برای کاربر عادی، بهترین دفاع در برابر چنین نشتهایی — نه رمز عبور به خودی خود، بلکه غیرقابل تکرار بودن آن است. اطلاعاتدزدی که رمز عبور شما را از یک فروم دزدیده، به اندازهای خطرناک است که همان رمز عبور به ایمیل و بانک شما مناسب باشد.
- یک رمز عبور منحصر به فرد برای هر سرویس و یک مدیر رمز عبور، تا آنها را در ذهن نگه ندارید. جایگزینی حسابها فقط بر اساس استفاده مجدد زندگی میکند.
- احراز هویت دو مرحلهای یا passkeys برای حسابهای حساس — ایمیل، بانک، فروشگاهها، شبکههای اجتماعی. حتی با رمز عبور نشت شده، ورود بدون عامل دوم سختتر است.
- به توکنهای سشن توجه کنید. اطلاعاتدزدان کوکیهایی را میدزدند که ورود به رمز عبور و ۲FA را زنده نگه میدارند — بنابراین در صورت مشکوک بودن به آلودگی، نه تنها باید رمز عبور را تغییر دهید، بلکه باید سشنهای فعال را در تمام دستگاهها خاتمه دهید.
- هر چیزی را اجرا نکنید. اطلاعاتدزدان از طریق تبلیغات مخرب، «بهروزرسانیهای جعلی مرورگر»، نرمافزار هک شده، چیتهای بازی، افزونههای مشکوک و حملات ClickFix که در آن قربانی را متقاعد میکنند که خود دستور را اجرا کند، گسترش مییابند.
برای کسانی که به طور قانونی با وبسایتها کار را اتوماسیون میکنند، درس دیگری وجود دارد: هویتها را جدا کنید و آنها را مخلوط نکنید. یک مجموعه جداگانه از حسابها — یک IP پاک جداگانه، یک پروفایل مرورگر جداگانه با اثر انگشت سازگار. اینگونه است که سناریوهای ضد شناسایی ساخته میشوند و به همین دلیل است که استخر پروکسی «خاکستری» ارزان امروز برای پروژه خطرناکتر از عدم وجود آن است.
نتیجهگیری
۲۴ میلیارد رکورد در یک سرور بدون رمز عبور — این یک رکورد برای رکورد نیست، بلکه یک تصویر از یک اقتصاد فعال است: اطلاعاتدزدان در ورودی، لیستهای ترکیبی در وسط، جایگزینی حسابها از طریق پروکسیهای مقیم در خروجی. تا زمانی که مردم از رمزهای عبور استفاده مجدد کنند، این خط تولید سودآور خواهد بود و حفاظت ضد رباتی — سختتر خواهد شد. کسی که به بهداشت توجه نمیکند، بازنده خواهد بود: کاربر عادی بدون رمزهای منحصر به فرد و ۲FA — و کسب و کاری که سعی میکند در پاکی زیرساخت صرفهجویی کند. در دنیایی که شناسایی بر اساس هویت و نه IP ساخته میشود، سرمایهگذاری بر روی شفافیت و کیفیت دیگر یک لوکس نیست.
```