24 миллиарда украденных логинов и паролей оказались собраны в одном месте — на открытом сервере, к которому мог подключиться кто угодно. Находка исследователей Cybernews — не просто очередная «утечка на N миллионов». Это витрина целой индустрии: инфостилеры воруют учётные данные, комбо-листы их агрегируют, а армии ботов прогоняют их через сайты, маскируя каждую попытку под живого пользователя с помощью резидентных и мобильных прокси. Разбираем, что нашли, как устроена подстановка учёток (credential stuffing) и почему этот теневой рынок бьёт в том числе по легальному веб-скрапингу и мультиаккаунтингу.
Что случилось: 8,3 ТБ и 24 миллиарда записей на одном сервере
12 июня 2026 года исследователи Cybernews обнаружили открытый кластер Elasticsearch объёмом 8,3 терабайта, в котором лежали 24 миллиарда записей с учётными данными. База не была защищена ни паролем, ни какой-либо аутентификацией — читать её мог любой, кто знал адрес. Вскоре после публикации находки сервер увели в офлайн, поэтому докопаться до владельца исследователи не успели.
Массив собран из 36 источников, и это ключевая деталь. Большая часть — так называемые «коллекции» (около 22,6 млрд записей), но особенно показательна структура остального:
- более 1,7 млрд записей подтянуты напрямую из Telegram-каналов — свыше 30 из 36 источников оказались каналами, где открыто торгуют крадеными данными;
- около 260 млн записей — из каналов с отсылками к «Darkside»;
- около 150 млн — локальные дампы баз данных;
- около 146 млн — компиляции из прошлых утечек (combo-листы).
Внутри — не просто «email и пароль». Значительная часть массива — это логи инфостилеров: вредоносов вроде RedLine, Lumma и Vidar, которые вытаскивают из заражённого браузера всё подряд. В более полных логах лежат сохранённые пароли, сессионные cookie и токены — в том числе те, что позволяют обойти двухфакторную аутентификацию, данные автозаполнения, отпечатки устройства и иногда криптокошельки. Каждая запись обычно снабжена URL сервиса, к которому пароль подходит, — то есть готовая инструкция «куда логиниться».
Ещё один тревожный нюанс: по косвенным признакам (внутри массива находили ссылки на свежие материалы вплоть до 2026 года) видно, что владелец регулярно обновлял базу. Это не архивная свалка, а живой, актуализируемый инструмент.
Как из утёкших паролей делают деньги: подстановка учёток
Сам по себе список «логин-пароль» бесполезен, пока его не проверят на реальных сайтах. Этим занимается credential stuffing — подстановка учёток: автоматизированные боты берут украденные пары и массово пробуют залогиниться на сотнях сервисов, рассчитывая на то, что человек использует один пароль в нескольких местах.
Масштаб проблемы хорошо виден в данных Verizon DBIR за 2025 год. Подстановка учёток составляла медианно 19% всех суточных попыток входа в логах SSO-провайдеров, у крупных предприятий доля доходила до 25%, а в худший зафиксированный день — до 44% всего трафика логинов. Украденные учётные данные были начальным вектором в 22% подтверждённых взломов. Только за 2025 год из даркнет-комбо-листов собрали около 2 миллиардов уникальных пар — а теперь на одном сервере лежали сразу 24 миллиарда записей.
И вот здесь начинается часть, которая напрямую касается прокси-индустрии. Чтобы не спалиться на первых же попытках, атакующие прогоняют запросы через пулы резидентных и мобильных прокси: каждая попытка входа уходит с нового IP-адреса реального провайдера или мобильного оператора. Для защиты сайта это выглядит не как одна подозрительная машина, долбящаяся тысячу раз, а как тысяча разных «обычных пользователей» из разных городов. Классическая защита по частоте запросов с одного IP при такой ротации почти бесполезна.
Почему это бьёт по легальному скрапингу и мультиаккаунтингу
Казалось бы, при чём тут те, кто занимается честным сбором данных, SMM-автоматизацией или ведёт несколько аккаунтов для бизнеса? При том, что антибот-системы не различают намерения — они различают паттерны. Чем активнее злоумышленники маскируют подстановку учёток под живой трафик через резидентные IP, тем агрессивнее Cloudflare, Akamai, DataDome и AWS WAF закручивают гайки для всех.
Отсюда — сдвиг детекта с уровня IP на уровень идентичности. Сегодня фильтры смотрят не столько на адрес, сколько на то, как клиент себя ведёт и как выглядит его сетевой отпечаток:
- TLS- и HTTP-фингерпринтинг (JA3/JA4) — если рукопожатие не совпадает с заявленным браузером, клиент помечается как подозрительный;
- поведенческий анализ тайминга — у живого человека паузы между действиями «плавают», а скрипты часто выдают почти идентичные интервалы;
- аномалии в соотношении успехов — редкие удачные входы, размазанные по множеству аккаунтов, — характерная подпись стаффинга;
- пробелы в заголовках и JavaScript — боты, не рендерящие страницу целиком, теряют cookie и значения, которые проставляет JS.
Именно поэтому в 2026 году скрапинг всё больше превращается в игру идентичностей, а не в гонку за количеством IP — мы подробно разбирали механику TLS- и JA4-фингерпринтинга отдельно. Для честного проекта вывод простой: качество и «чистота» прокси теперь важнее их количества. IP, который вчера использовался для перебора чужих паролей, сегодня уже в блек-листах репутационных систем — и тянет за собой ваш легальный трафик.
Есть и репутационное измерение. Скандалы вокруг ботнетов из взломанных Smart TV и недавняя ликвидация теневых прокси-сетей показали, что часть «резидентного» рынка питается сомнительными источниками. Для бизнеса это сигнал выбирать провайдера с прозрачным происхождением IP и внятным KYC, а не самый дешёвый пул неизвестного качества. Легальные резидентные прокси и мобильные прокси из проверенных сетей дают ту самую «чистую» репутацию, ради которой всё и затевается, — без риска оказаться в одном сегменте с credential-stuffing-трафиком.
Что делать прямо сейчас
Для обычного пользователя главная защита от таких утечек — не пароль как таковой, а его неповторяемость. Инфостилер, укравший ваш пароль от форума, опасен ровно настолько, насколько тот же пароль подходит к почте и банку.
- Уникальный пароль на каждый сервис и менеджер паролей, чтобы их не держать в голове. Подстановка учёток живёт исключительно на повторном использовании.
- Двухфакторная аутентификация или passkeys на критичных аккаунтах — почта, банк, магазины, соцсети. Даже с утёкшим паролем без второго фактора войти труднее.
- Помните про сессионные токены. Инфостилеры воруют cookie, которые переживают ввод пароля и 2FA, — поэтому при подозрении на заражение стоит не только сменить пароль, но и завершить активные сессии на всех устройствах.
- Не запускайте что попало. Инфостилеры расходятся через вредоносную рекламу, поддельные «обновления браузера», взломанный софт, читы к играм, подозрительные расширения и ClickFix-атаки, где жертву уговаривают самой выполнить команду.
Для тех, кто автоматизирует работу с сайтами легально, урок другой: разделяйте идентичности и не смешивайте их. Отдельный набор аккаунтов — отдельный чистый IP, отдельный браузерный профиль с консистентным отпечатком. Именно так строятся антидетект-сценарии, и именно поэтому дешёвый «серый» прокси-пул сегодня опаснее для проекта, чем его отсутствие.
Вывод
24 миллиарда записей на одном незапароленном сервере — это не рекорд ради рекорда, а снимок работающей экономики: инфостилеры на входе, комбо-листы в середине, подстановка учёток через резидентные прокси на выходе. Пока люди переиспользуют пароли, этот конвейер будет прибыльным, а антибот-защита — всё жёстче. Проиграет тот, кто игнорирует гигиену: обычный пользователь без уникальных паролей и 2FA — и бизнес, который пытается экономить на чистоте инфраструктуры. В мире, где детект строится на идентичности, а не на IP, ставка на прозрачность и качество перестаёт быть роскошью.
