Šokantno otkriće: javno dostupna baza s 150 milijuna lozinki razotkrila Facebook, Gmail, banke i državne račune

Javno dostupna baza podataka s gotovo 150 milijuna lozinki bila nezaštićena

Javno izložena baza podataka nije bila zaštićena lozinkom niti enkripcijom. Sadržavala je čak 149.404.754 jedinstvena korisnička imena i lozinke, odnosno oko 96 GB sirovih podataka s pristupnim podacima. U ograničenom uzorku dokumenata koji su bili dostupni, pronađene su tisuće datoteka s e-mail adresama, korisničkim imenima, lozinkama te izravnim URL poveznicama za prijavu ili autorizaciju računa.

Ovo nije prvi put da je otkriven ovakav skup podataka, a slučaj dodatno naglašava globalnu prijetnju koju predstavlja zlonamjerni softver za krađu vjerodajnica. Ukradeni ili prikupljeni podaci moraju se negdje pohraniti, a cloud repozitoriji često su prvi izbor. Otkriće također pokazuje da ni sami kibernetički kriminalci nisu imuni na sigurnosne propuste. Budući da je baza bila javno dostupna, svatko tko ju je pronašao mogao je potencijalno pristupiti podacima milijuna korisnika.

Računi s cijelog svijeta, uključujući banke i državne domene

Izloženi zapisi uključivali su korisnička imena i lozinke prikupljene od žrtava diljem svijeta, a obuhvaćali su gotovo sve vrste online računa. Među njima su bili profili na društvenim mrežama poput Facebooka, Instagrama, TikToka i X-a (bivši Twitter), ali i računi na dating aplikacijama te OnlyFansu, uključujući pristupne podatke i kreatora i korisnika, prenosi expressvpn. 

Otkriven je i velik broj računa za streaming i zabavne platforme, poput Netflixa, HBO Maxa, Disney Plusa i Robloxa, kao i financijski računi, kripto-novčanici, trgovačke platforme, bankarski i kartični podaci.

Posebno zabrinjava prisutnost vjerodajnica povezanih s.gov domenama iz više zemalja. Iako ne omogućuje svaki državni račun pristup osjetljivim sustavima, čak i ograničen pristup može imati ozbiljne posljedice, ovisno o ulozi kompromitiranog korisnika. Takvi podaci mogu se iskoristiti za ciljani phishing, lažno predstavljanje ili kao ulazna točka u državne mreže, što potencijalno predstavlja rizik za nacionalnu sigurnost i javnu sigurnost.

Tko stoji iza baze – i zašto je bila javna?

Baza podataka nije imala vidljive informacije o vlasništvu, zbog čega je slučaj prijavljen izravno hosting provideru putem obrasca za prijavu zloupotrebe. Nakon nekoliko dana stigao je odgovor kako oni formalno ne hostaju navedenu IP adresu, nego da se radi o podružnici koja djeluje samostalno, piše expressvpn.

Prošlo je gotovo mjesec dana i više pokušaja prije nego što je hosting konačno suspendiran i milijuni ukradenih lozinki postali nedostupni javnosti. Hosting provider nije otkrio tko je upravljao bazom, niti je poznato je li ona korištena u kriminalne svrhe, za legitimna istraživanja ili zašto je uopće bila javno izložena. Također nije poznato koliko je dugo baza bila dostupna niti je li netko drugi prije toga preuzeo podatke. Dodatno zabrinjava činjenica da se broj zapisa povećavao u razdoblju između otkrića i zatvaranja baze.

Procjena izloženih e-mail servisa

48 milijuna – Gmail

4 milijuna – Yahoo

1,5 milijuna – Outlook

900 tisuća – iCloud

1,4 milijuna –.edu domene

Ostali značajni računi:

17 milijuna – Facebook

6,5 milijuna – Instagram

780 tisuća – TikTok

3,4 milijuna – Netflix

100 tisuća – OnlyFans

420 tisuća – Binance

Infostealer malware i dodatni rizici

Baza je sadržavala podatke prikupljene pomoću keyloggera i tzv. infostealer malwarea, zlonamjernog softvera koji potajno krade podatke s kompromitiranih uređaja. Ovaj skup podataka razlikovao se od prije viđenih jer je bilježio dodatne tehničke informacije, uključujući tzv. host_reversed path (npr. com.example.user.machine), što omogućuje lakše indeksiranje ukradenih podataka po žrtvi i izvoru.

S obzirom na to da baza sadrži e-mailove, korisnička imena, lozinke i točne URL-ove za prijavu, kriminalci bi mogli automatizirati credential-stuffing napade, što značajno povećava rizik od prijevara, krađe identiteta, financijskih gubitaka i uvjerljivih phishing kampanja.

Kako se zaštititi

Zlonamjerni softver može se širiti putem lažnih e-mail priloga, kompromitiranih ekstenzija preglednika, lažnih ažuriranja softvera ili čak oglasa. Ako je uređaj zaražen, sama promjena lozinke nije dovoljna jer će i nova lozinka biti ukradena.

Antivirusni softver i redovita ažuriranja operativnog sustava prva je linija obrane. Istraživanje objavljeno u listopadu pokazalo je da je samo 66 % odraslih u SAD-u koristilo antivirusni softver tijekom 2025. godine, što znači da velik broj korisnika ostaje nezaštićen.

Korištenje password managera, dvofaktorske autentifikacije (2FA) i jedinstvenih lozinki za svaki servis može značajno smanjiti rizik, iako ni to ne pruža apsolutnu zaštitu na potpuno kompromitiranim sustavima.

Zaključak

Iako može djelovati ironično da su kibernetički kriminalci ostavili ovako vrijedan skup ukradenih podataka nezaštićen, stručnjaci ističu da se to događa često – brzina i količina često imaju prednost nad sigurnošću. Jednom kad su takvi podaci izloženi, štetu je gotovo nemoguće u potpunosti poništiti.

Ovo otkriće još je jedan podsjetnik da je krađa vjerodajnica postala masovni biznis. U vremenu sve sofisticiranijih prijetnji, osnovna digitalna higijena – antivirus, jake lozinke, 2FA i redovita ažuriranja – važnija je nego ikad.

Autor izvješća naglašava da nije preuzimao niti zadržavao podatke, nego je dokumentirao minimalan broj dokaza isključivo radi prijave problema, s ciljem podizanja svijesti o zaštiti privatnosti i podataka.