بازگشت به وبلاگ

نشت ۲۴ میلیارد رمز عبور: چگونه صنعت جایگزینی حساب‌ها کار می‌کند

در ۱۲ ژوئن ۲۰۲۶، محققان Cybernews یک سرور بدون رمز عبور به ظرفیت ۸.۳ ترابایت با ۲۴ میلیارد حساب سرقت شده پیدا کردند. در اینجا بررسی می‌کنیم که درون آن چه خبر است، چگونه جایگزینی حساب‌ها از طریق پروکسی‌های مقیم و موبایل انجام می‌شود و چرا بازار سیاه رمزهای عبور سرقت شده حتی بر روی وب‌اسکرپینگ قانونی و چندحسابداری تأثیر می‌گذارد.

📅۱۶ تیر ۱۴۰۵
نشت ۲۴ میلیارد رمز عبور: چگونه صنعت جایگزینی حساب‌ها کار می‌کند
```html

۲۴ میلیارد نام کاربری و رمز عبور دزدیده شده در یک مکان جمع‌آوری شده‌اند — بر روی یک سرور باز که هر کسی می‌توانست به آن متصل شود. کشف محققان Cybernews — نه تنها یک «نشت اطلاعاتی به تعداد N میلیون». این یک ویترین از یک صنعت کامل است: اطلاعات‌دزدان اطلاعات کاربری را دزدیده و لیست‌های ترکیبی آن‌ها را جمع‌آوری می‌کنند، و ارتش‌های ربات‌ها آن‌ها را از طریق وب‌سایت‌ها عبور می‌دهند و هر تلاش را به عنوان یک کاربر واقعی با استفاده از پروکسی‌های مقیم و موبایل پنهان می‌کنند. بررسی می‌کنیم که چه چیزی پیدا شده، چگونه جایگزینی حساب‌ها (credential stuffing) انجام می‌شود و چرا این بازار سیاه به وب‌اسکرپینگ قانونی و چندحسابی آسیب می‌زند.

چه اتفاقی افتاد: ۸.۳ ترابایت و ۲۴ میلیارد رکورد در یک سرور

در تاریخ ۱۲ ژوئن ۲۰۲۶، محققان Cybernews یک خوشه باز Elasticsearch به حجم ۸.۳ ترابایت را کشف کردند که ۲۴ میلیارد رکورد با اطلاعات کاربری در آن قرار داشت. این پایگاه داده نه با رمز عبور و نه با هیچ نوع احراز هویتی محافظت نشده بود — هر کسی که آدرس را می‌دانست می‌توانست آن را بخواند. به زودی پس از انتشار این کشف، سرور به حالت آفلاین درآمد و بنابراین محققان نتوانستند به مالک آن دسترسی پیدا کنند.

این مجموعه از ۳۶ منبع جمع‌آوری شده است و این یک جزئیات کلیدی است. بخش عمده‌ای از آن — به اصطلاح «مجموعه‌ها» (حدود ۲۲.۶ میلیارد رکورد)، اما ساختار بقیه به ویژه قابل توجه است:

  • بیش از ۱.۷ میلیارد رکورد به طور مستقیم از کانال‌های تلگرام جمع‌آوری شده‌اند — بیش از ۳۰ از ۳۶ منبع کانال‌هایی بودند که به طور علنی داده‌های دزدیده شده را معامله می‌کنند؛
  • حدود ۲۶۰ میلیون رکورد — از کانال‌هایی با ارجاعات به «Darkside»؛
  • حدود ۱۵۰ میلیون — دامپ‌های محلی پایگاه داده؛
  • حدود ۱۴۶ میلیون — ترکیب‌هایی از نشت‌های قبلی (لیست‌های ترکیبی).

درون این داده‌ها — نه تنها «ایمیل و رمز عبور». بخش قابل توجهی از این مجموعه — لاگ‌های اطلاعات‌دزدان: بدافزارهایی مانند RedLine، Lumma و Vidar که هر چیزی را از مرورگر آلوده استخراج می‌کنند. در لاگ‌های کامل‌تر، رمزهای عبور ذخیره شده، کوکی‌های سشن و توکن‌ها — از جمله آن‌هایی که اجازه می‌دهند احراز هویت دو مرحله‌ای را دور بزنند، داده‌های پر کردن خودکار، اثر انگشت دستگاه و گاهی کیف پول‌های رمزنگاری وجود دارد. هر رکورد معمولاً با URL سرویسی که رمز عبور به آن مربوط می‌شود، همراه است — یعنی دستورالعمل آماده «کجا وارد شوید».

یک نکته نگران‌کننده دیگر: بر اساس نشانه‌های غیرمستقیم (درون مجموعه، لینک‌هایی به مطالب جدید تا سال ۲۰۲۶ پیدا شده است) مشخص است که مالک به طور منظم پایگاه داده را به‌روزرسانی می‌کرده. این یک زباله‌دانی آرشیوی نیست، بلکه یک ابزار زنده و به‌روز است.

چگونه از رمزهای عبور نشت کرده پول در می‌آورند: جایگزینی حساب‌ها

فهرست «نام کاربری-رمز عبور» به خودی خود بی‌فایده است، تا زمانی که آن را در وب‌سایت‌های واقعی بررسی نکنند. این کار توسط credential stuffing — جایگزینی حساب‌ها انجام می‌شود: ربات‌های خودکار جفت‌های دزدیده شده را می‌گیرند و به طور انبوه سعی می‌کنند در صدها سرویس وارد شوند، با این امید که فردی از یک رمز عبور در چندین مکان استفاده می‌کند.

مقیاس مشکل به خوبی در داده‌های Verizon DBIR برای سال ۲۰۲۵ دیده می‌شود. جایگزینی حساب‌ها به طور میانگین ۱۹٪ از تمام تلاش‌های روزانه ورود در لاگ‌های ارائه‌دهندگان SSO را تشکیل می‌داد، در شرکت‌های بزرگ این سهم به ۲۵٪ می‌رسید و در بدترین روز ثبت شده — به ۴۴٪ از کل ترافیک ورود. اطلاعات دزدیده شده نقطه شروع ۲۲٪ از هک‌های تأیید شده بودند. تنها در سال ۲۰۲۵، حدود ۲ میلیارد جفت منحصر به فرد از لیست‌های ترکیبی دارک‌نت جمع‌آوری شد — و حالا در یک سرور ۲۴ میلیارد رکورد وجود داشت.

و اینجا جایی است که بخشی شروع می‌شود که مستقیماً به صنعت پروکسی مربوط می‌شود. برای اینکه در همان تلاش‌های اولیه شناسایی نشوند، مهاجمان درخواست‌ها را از طریق استخرهای پروکسی مقیم و موبایل عبور می‌دهند: هر تلاش ورود با یک آدرس IP جدید از یک ارائه‌دهنده واقعی یا اپراتور موبایل انجام می‌شود. برای حفاظت از وب‌سایت، این به عنوان یک ماشین مشکوک که هزار بار تلاش می‌کند به نظر نمی‌رسد، بلکه به عنوان هزار «کاربر عادی» از شهرهای مختلف به نظر می‌رسد. حفاظت کلاسیک بر اساس فرکانس درخواست‌ها از یک IP در چنین چرخشی تقریباً بی‌فایده است.

چرا این به وب‌اسکرپینگ قانونی و چندحسابی آسیب می‌زند

به نظر می‌رسد که چه ربطی به کسانی که به طور قانونی داده‌ها را جمع‌آوری می‌کنند، اتوماسیون SMM انجام می‌دهند یا چندین حساب برای کسب و کار دارند؟ به این دلیل که سیستم‌های ضد ربات تمایز بین نیت‌ها قائل نمی‌شوند — آن‌ها الگوها را تشخیص می‌دهند. هر چه مهاجمان فعال‌تر تلاش کنند تا جایگزینی حساب‌ها را تحت ترافیک زنده از طریق IP‌های مقیم پنهان کنند، Cloudflare، Akamai، DataDome و AWS WAF سخت‌گیرانه‌تر برای همه محدودیت‌ها را اعمال می‌کنند.

از این رو — تغییر تشخیص از سطح IP به سطح هویت. امروزه فیلترها به اندازه آدرس به رفتار مشتری و نحوه نمایش اثر انگشت شبکه‌اش توجه می‌کنند:

  • فینگرپرینتینگ TLS و HTTP (JA3/JA4) — اگر دست دادن با مرورگر اعلام شده مطابقت نداشته باشد، مشتری به عنوان مشکوک علامت‌گذاری می‌شود؛
  • تحلیل رفتاری زمان‌بندی — در یک انسان زنده، وقفه‌ها بین اقدامات «شناور» هستند، در حالی که اسکریپت‌ها اغلب فواصل تقریباً یکسانی را تولید می‌کنند؛
  • anomالی‌ها در نسبت موفقیت‌ها — ورودهای نادر موفق، پراکنده در بین چندین حساب — امضای مشخصه‌ای از استافینگ؛
  • فاصله‌ها در هدرها و JavaScript — ربات‌ها، که صفحه را به طور کامل رندر نمی‌کنند، کوکی‌ها و مقادیر را که JS تنظیم می‌کند، از دست می‌دهند.

به همین دلیل است که در سال ۲۰۲۶، وب‌اسکرپینگ به طور فزاینده‌ای به یک بازی هویت‌ها تبدیل می‌شود، نه یک مسابقه برای تعداد IP — ما به طور مفصل مکانیک فینگرپرینتینگ TLS و JA4 را جداگانه بررسی کردیم. برای پروژه‌های قانونی نتیجه ساده است: کیفیت و «پاکی» پروکسی اکنون مهم‌تر از تعداد آن‌هاست. IP که دیروز برای حدس زدن رمزهای عبور دیگران استفاده می‌شد، امروز در لیست‌های سیاه سیستم‌های اعتبارسنجی قرار دارد — و ترافیک قانونی شما را به همراه می‌آورد.

یک بعد اعتبارسنجی نیز وجود دارد. رسوایی‌ها در مورد بات‌نت‌ها از تلویزیون‌های هوشمند هک شده و حذف اخیر شبکه‌های پروکسی سایه نشان داد که بخشی از بازار «مقیم» از منابع مشکوک تغذیه می‌شود. برای کسب و کار، این یک سیگنال است که ارائه‌دهنده‌ای با منبع IP شفاف و KYC واضح انتخاب کند، نه ارزان‌ترین استخر با کیفیت نامشخص. پروکسی‌های مقیم قانونی و پروکسی‌های موبایل از شبکه‌های معتبر همان «اعتبار پاک» را ارائه می‌دهند که به خاطر آن همه چیز آغاز می‌شود — بدون خطر قرار گرفتن در یک بخش با ترافیک credential-stuffing.

چه کارهایی باید همین حالا انجام دهید

برای کاربر عادی، بهترین دفاع در برابر چنین نشت‌هایی — نه رمز عبور به خودی خود، بلکه غیرقابل تکرار بودن آن است. اطلاعات‌دزدی که رمز عبور شما را از یک فروم دزدیده، به اندازه‌ای خطرناک است که همان رمز عبور به ایمیل و بانک شما مناسب باشد.

  • یک رمز عبور منحصر به فرد برای هر سرویس و یک مدیر رمز عبور، تا آن‌ها را در ذهن نگه ندارید. جایگزینی حساب‌ها فقط بر اساس استفاده مجدد زندگی می‌کند.
  • احراز هویت دو مرحله‌ای یا passkeys برای حساب‌های حساس — ایمیل، بانک، فروشگاه‌ها، شبکه‌های اجتماعی. حتی با رمز عبور نشت شده، ورود بدون عامل دوم سخت‌تر است.
  • به توکن‌های سشن توجه کنید. اطلاعات‌دزدان کوکی‌هایی را می‌دزدند که ورود به رمز عبور و ۲FA را زنده نگه می‌دارند — بنابراین در صورت مشکوک بودن به آلودگی، نه تنها باید رمز عبور را تغییر دهید، بلکه باید سشن‌های فعال را در تمام دستگاه‌ها خاتمه دهید.
  • هر چیزی را اجرا نکنید. اطلاعات‌دزدان از طریق تبلیغات مخرب، «به‌روزرسانی‌های جعلی مرورگر»، نرم‌افزار هک شده، چیت‌های بازی، افزونه‌های مشکوک و حملات ClickFix که در آن قربانی را متقاعد می‌کنند که خود دستور را اجرا کند، گسترش می‌یابند.

برای کسانی که به طور قانونی با وب‌سایت‌ها کار را اتوماسیون می‌کنند، درس دیگری وجود دارد: هویت‌ها را جدا کنید و آن‌ها را مخلوط نکنید. یک مجموعه جداگانه از حساب‌ها — یک IP پاک جداگانه، یک پروفایل مرورگر جداگانه با اثر انگشت سازگار. اینگونه است که سناریوهای ضد شناسایی ساخته می‌شوند و به همین دلیل است که استخر پروکسی «خاکستری» ارزان امروز برای پروژه خطرناک‌تر از عدم وجود آن است.

نتیجه‌گیری

۲۴ میلیارد رکورد در یک سرور بدون رمز عبور — این یک رکورد برای رکورد نیست، بلکه یک تصویر از یک اقتصاد فعال است: اطلاعات‌دزدان در ورودی، لیست‌های ترکیبی در وسط، جایگزینی حساب‌ها از طریق پروکسی‌های مقیم در خروجی. تا زمانی که مردم از رمزهای عبور استفاده مجدد کنند، این خط تولید سودآور خواهد بود و حفاظت ضد رباتی — سخت‌تر خواهد شد. کسی که به بهداشت توجه نمی‌کند، بازنده خواهد بود: کاربر عادی بدون رمزهای منحصر به فرد و ۲FA — و کسب و کاری که سعی می‌کند در پاکی زیرساخت صرفه‌جویی کند. در دنیایی که شناسایی بر اساس هویت و نه IP ساخته می‌شود، سرمایه‌گذاری بر روی شفافیت و کیفیت دیگر یک لوکس نیست.

```