Back to Blog

24 अरब पासवर्ड का लीक: खाता सब्स्टिट्यूशन उद्योग कैसे काम करता है

12 जून 2026 को Cybernews के शोधकर्ताओं ने 8.3 टीबी का बिना पासवर्ड वाला सर्वर पाया, जिसमें 24 अरब चोरी किए गए खातों की जानकारी थी। हम यह समझते हैं कि अंदर क्या है, कैसे निवासियों और मोबाइल प्रॉक्सी के माध्यम से खातों का प्रतिस्थापन किया जाता है और क्यों चोरी किए गए पासवर्डों का अंधेरा बाजार यहां तक कि कानूनी वेब स्क्रैपिंग और मल्टीएकाउंटिंग को भी प्रभावित करता है।

📅July 7, 2026
24 अरब पासवर्ड का लीक: खाता सब्स्टिट्यूशन उद्योग कैसे काम करता है
```html

24 अरब चुराए गए लॉगिन और पासवर्ड एक ही जगह पर इकट्ठा हो गए - एक खुले सर्वर पर, जिससे कोई भी जुड़ सकता था। Cybernews के शोधकर्ताओं की यह खोज केवल एक और "N मिलियन पर लीक" नहीं है। यह एक पूरे उद्योग की प्रदर्शनी है: सूचना चोर लॉगिन क्रेडेंशियल चुराते हैं, कॉम्बो सूचियाँ उन्हें एकत्र करती हैं, और बोटों की सेनाएँ उन्हें वेबसाइटों के माध्यम से चलाती हैं, हर प्रयास को एक जीवित उपयोगकर्ता के रूप में छिपाते हुए रेजिडेंट और मोबाइल प्रॉक्सी के माध्यम से। हम समझते हैं कि उन्होंने क्या पाया, क्रेडेंशियल स्टफिंग कैसे काम करता है और क्यों यह छायादार बाजार वैध वेब स्क्रैपिंग और मल्टी अकाउंटिंग पर भी हमला करता है।

क्या हुआ: 8.3 TB और 24 अरब रिकॉर्ड एक सर्वर पर

12 जून 2026 को Cybernews के शोधकर्ताओं ने एक खुले Elasticsearch क्लस्टर का पता लगाया जिसका आकार 8.3 टेराबाइट था, जिसमें 24 अरब रिकॉर्ड लॉगिन क्रेडेंशियल के साथ थे। डेटाबेस न तो पासवर्ड से सुरक्षित था और न ही किसी प्रकार की प्रमाणीकरण से - इसे कोई भी पढ़ सकता था जो पता जानता था। खोज के प्रकाशन के तुरंत बाद, सर्वर को ऑफ़लाइन ले जाया गया, इसलिए शोधकर्ता मालिक तक पहुँचने में असफल रहे।

यह संग्रह 36 स्रोतों से एकत्र किया गया है, और यह एक महत्वपूर्ण विवरण है। अधिकांश - जिसे "संग्रह" कहा जाता है (लगभग 22.6 अरब रिकॉर्ड), लेकिन बाकी की संरचना विशेष रूप से उल्लेखनीय है:

  • 1.7 अरब से अधिक रिकॉर्ड सीधे Telegram चैनलों से खींचे गए - 36 स्रोतों में से 30 चैनल थे, जहाँ चुराए गए डेटा की खुली बिक्री होती है;
  • लगभग 260 मिलियन रिकॉर्ड - "Darkside" के संदर्भ वाले चैनलों से;
  • लगभग 150 मिलियन - स्थानीय डेटाबेस के डंप;
  • लगभग 146 मिलियन - पिछले लीक से संकलन (कॉम्बो सूचियाँ)।

अंदर - केवल "ईमेल और पासवर्ड" नहीं। संग्रह का एक महत्वपूर्ण हिस्सा सूचना चोरों के लॉग है: RedLine, Lumma और Vidar जैसे मालवेयर, जो संक्रमित ब्राउज़र से सब कुछ निकालते हैं। अधिक पूर्ण लॉग में सुरक्षित पासवर्ड, सत्र कुकी और टोकन - जिसमें वे भी शामिल हैं जो द्वि-कारक प्रमाणीकरण को बायपास करने की अनुमति देते हैं, ऑटोफिल डेटा, डिवाइस के फ़िंगरप्रिंट और कभी-कभी क्रिप्टोक्यूरेंसी वॉलेट होते हैं। प्रत्येक रिकॉर्ड आमतौर पर उस सेवा का URL प्रदान करता है, जिसके लिए पासवर्ड उपयुक्त है - यानी "कहाँ लॉगिन करना है" की तैयार निर्देशिका।

एक और चिंताजनक बिंदु: अप्रत्यक्ष संकेतों के आधार पर (संग्रह के भीतर 2026 तक के ताजे सामग्री के लिंक मिले) यह स्पष्ट है कि मालिक नियमित रूप से डेटाबेस को अपडेट करता था। यह कोई पुरानी संग्रहण नहीं है, बल्कि एक जीवित, अद्यतन उपकरण है।

चुराए गए पासवर्ड से पैसे कैसे बनते हैं: क्रेडेंशियल स्टफिंग

स्वयं "लॉगिन-पासवर्ड" की सूची बेकार है, जब तक कि इसे वास्तविक वेबसाइटों पर परीक्षण नहीं किया जाता। यही क्रेडेंशियल स्टफिंग है - क्रेडेंशियल्स की भराई: स्वचालित बॉट चुराए गए जोड़े लेते हैं और सैकड़ों सेवाओं पर लॉगिन करने का प्रयास करते हैं, यह मानते हुए कि व्यक्ति एक ही पासवर्ड का उपयोग कई स्थानों पर करता है।

समस्या का पैमाना Verizon DBIR के 2025 के आंकड़ों में स्पष्ट रूप से देखा जा सकता है। क्रेडेंशियल स्टफिंग सभी दैनिक लॉगिन प्रयासों का 19% का मध्य मान था, बड़े व्यवसायों में यह 25% तक पहुँच गया, और सबसे खराब दर्ज किए गए दिन में - 44% कुल लॉगिन ट्रैफ़िक तक। चुराए गए क्रेडेंशियल्स 22% पुष्टि किए गए हैकिंग्स में प्रारंभिक वेक्टर थे। केवल 2025 में डार्कनेट कॉम्बो सूचियों से लगभग 2 अरब अद्वितीय जोड़े एकत्र किए गए - और अब एक सर्वर पर एक साथ 24 अरब रिकॉर्ड थे।

और यहीं से वह हिस्सा शुरू होता है जो सीधे प्रॉक्सी उद्योग से संबंधित है। पहले प्रयासों में पकड़े जाने से बचने के लिए, हमलावर रिजिडेंट और मोबाइल प्रॉक्सी के पूलों के माध्यम से अनुरोधों को चलाते हैं: प्रत्येक लॉगिन प्रयास एक नए IP पते के साथ वास्तविक प्रदाता या मोबाइल ऑपरेटर से जाता है। वेबसाइट की सुरक्षा के लिए यह एक संदिग्ध मशीन के रूप में नहीं दिखता है, जो हजारों बार प्रयास कर रही है, बल्कि यह विभिन्न शहरों के हजारों "सामान्य उपयोगकर्ताओं" के रूप में दिखाई देता है। एक IP से अनुरोधों की आवृत्ति पर पारंपरिक सुरक्षा इस प्रकार की रोटेशन के साथ लगभग बेकार होती है।

यह वैध स्क्रैपिंग और मल्टी अकाउंटिंग पर क्यों हमला करता है

ऐसा लगता है कि जो लोग डेटा को ईमानदारी से एकत्र करते हैं, SMM स्वचालन करते हैं या व्यवसाय के लिए कई खातों का संचालन करते हैं, उनका इससे क्या लेना-देना है? इस तथ्य से कि एंटी-बॉट सिस्टम इरादों में अंतर नहीं करते - वे पैटर्न में भिन्नता करते हैं। जितना अधिक अपराधी क्रेडेंशियल स्टफिंग को जीवित ट्रैफ़िक के रूप में छिपाते हैं, उतना ही आक्रामक Cloudflare, Akamai, DataDome और AWS WAF सभी के लिए नीतियाँ सख्त करते हैं।

इससे - पहचान के स्तर पर पहचान का पता लगाने में बदलाव होता है। आज फ़िल्टर केवल पते पर नहीं बल्कि इस पर ध्यान देते हैं कि ग्राहक कैसे व्यवहार करता है और उसका नेटवर्क फ़िंगरप्रिंट कैसा दिखता है:

  • TLS- और HTTP-फिंगरप्रिंटिंग (JA3/JA4) - यदि हैंडशेक घोषित ब्राउज़र से मेल नहीं खाता है, तो ग्राहक को संदिग्ध के रूप में चिह्नित किया जाता है;
  • व्यवहारात्मक समय विश्लेषण - एक जीवित व्यक्ति के बीच क्रियाओं के बीच रुकावट "तैरती" होती है, जबकि स्क्रिप्ट अक्सर लगभग समान अंतराल उत्पन्न करती हैं;
  • सफलताओं के अनुपात में विसंगतियाँ - कई खातों में फैले दुर्लभ सफल लॉगिन - स्टफिंग की विशिष्ट पहचान;
  • हेडर और JavaScript में रिक्त स्थान - बॉट, जो पूरी तरह से पृष्ठ को रेंडर नहीं करते, कुकी और मान खो देते हैं जो JS द्वारा सेट किए जाते हैं।

इसीलिए 2026 में स्क्रैपिंग अधिक से अधिक पहचान की खेल में बदल रहा है, न कि IP की संख्या की दौड़ में - हमने TLS- और JA4-फिंगरप्रिंटिंग की यांत्रिकी को अलग से विस्तार से समझाया। ईमानदार परियोजना के लिए सरल निष्कर्ष: गुणवत्ता और "स्वच्छता" अब उनकी संख्या से अधिक महत्वपूर्ण है। IP, जो कल दूसरों के पासवर्ड के लिए उपयोग किया गया था, आज पहले से ही प्रतिष्ठा प्रणाली की काली सूचियों में है - और आपके वैध ट्रैफ़िक को खींचता है।

एक प्रतिष्ठा का माप भी है। हैक किए गए स्मार्ट टीवी से बॉटनेट के चारों ओर के स्कैंडल और हाल ही में छायादार प्रॉक्सी नेटवर्क का सफाया दिखाते हैं कि "रिजिडेंट" बाजार का एक हिस्सा संदिग्ध स्रोतों से पोषित होता है। व्यवसाय के लिए यह संकेत है कि एक प्रदाता का चयन करें जिसका IP का पारदर्शी स्रोत हो और स्पष्ट KYC हो, न कि सबसे सस्ता पूल जिसका गुणवत्ता अज्ञात हो। वैध रिजिडेंट प्रॉक्सी और मोबाइल प्रॉक्सी विश्वसनीय नेटवर्क से वही "स्वच्छ" प्रतिष्ठा प्रदान करते हैं, जिसके लिए सब कुछ किया जाता है - बिना क्रेडेंशियल-स्टफिंग ट्रैफ़िक के साथ एक ही खंड में आने के जोखिम के।

अभी क्या करें

सामान्य उपयोगकर्ता के लिए, ऐसे लीक से मुख्य सुरक्षा पासवर्ड नहीं है, बल्कि इसकी अद्वितीयता है। सूचना चोर, जिसने आपके फोरम का पासवर्ड चुराया है, उतना ही खतरनाक है जितना कि वही पासवर्ड आपके ईमेल और बैंक के लिए उपयुक्त है।

  • प्रत्येक सेवा के लिए अद्वितीय पासवर्ड और एक पासवर्ड प्रबंधक, ताकि उन्हें याद न रखना पड़े। क्रेडेंशियल स्टफिंग केवल पुन: उपयोग पर निर्भर करती है।
  • महत्वपूर्ण खातों पर द्वि-कारक प्रमाणीकरण या पासकी - ईमेल, बैंक, स्टोर, सोशल मीडिया। यहां तक कि लीक हुए पासवर्ड के साथ भी दूसरे कारक के बिना लॉगिन करना कठिन है।
  • सत्र टोकनों के बारे में याद रखें। सूचना चोर कुकी चुराते हैं, जो पासवर्ड और 2FA के प्रवेश को सहन करते हैं - इसलिए संक्रमण के संदेह में, केवल पासवर्ड बदलना ही नहीं, बल्कि सभी उपकरणों पर सक्रिय सत्र समाप्त करना भी आवश्यक है।
  • जो भी हो, उसे न चलाएं। सूचना चोर दुर्भावनापूर्ण विज्ञापनों, नकली "ब्राउज़र अपडेट", हैक किए गए सॉफ़्टवेयर, गेम के लिए चीट, संदिग्ध एक्सटेंशन और ClickFix हमलों के माध्यम से फैलते हैं, जहाँ शिकार को खुद आदेश निष्पादित करने के लिए मनाया जाता है।

जो लोग वैध रूप से वेबसाइटों के साथ काम को स्वचालित करते हैं, उनके लिए एक और सबक है: पहचानें को अलग करें और उन्हें न मिलाएं। प्रत्येक पहचान के लिए एक अलग सेट खाते - एक अलग स्वच्छ IP, एक अलग ब्राउज़र प्रोफ़ाइल जिसमें संगत फ़िंगरप्रिंट हो। इसी तरह एंटी-डिटेक्ट परिदृश्य बनाए जाते हैं, और इसी कारण सस्ता "ग्रे" प्रॉक्सी पूल आज परियोजना के लिए अधिक खतरनाक है, जितना कि इसका अभाव।

निष्कर्ष

एक अनलॉक किए गए सर्वर पर 24 अरब रिकॉर्ड - यह रिकॉर्ड के लिए रिकॉर्ड नहीं है, बल्कि एक कार्यशील अर्थव्यवस्था की तस्वीर है: सूचना चोरों का प्रवेश, कॉम्बो सूचियाँ बीच में, रेजिडेंट प्रॉक्सी के माध्यम से क्रेडेंशियल स्टफिंग का निकास। जब तक लोग पासवर्ड का पुन: उपयोग करते हैं, यह कन्वेयर लाभदायक रहेगा, और एंटी-बॉट सुरक्षा अधिक सख्त होती जाएगी। हार जाएगा वह, जो स्वच्छता की अनदेखी करता है: सामान्य उपयोगकर्ता बिना अद्वितीय पासवर्ड और 2FA - और व्यवसाय, जो बुनियादी ढांचे की स्वच्छता पर बचत करने की कोशिश करता है। एक दुनिया में, जहाँ पहचान पर आधारित पहचान का पता लगाया जाता है, पारदर्शिता और गुणवत्ता पर दांव लगाना एक विलासिता बन जाता है।

```