RockYou2025: Когато Samsung, GitHub и правителства паднаха – Денят, в който 16 милиарда пароли изтекоха
1 юни 2025 – Денят, в който интернет кървеше
Точно в 02:17 ч. UTC на 1 юни 2025 г. в тъмен форум в даркнета се появи кратко съобщение. Потребителят с псевдоним „X_Zero“ написа:
16 милиарда идентификационни данни. Пресни логове. Без дубликати. RockYou2025. Огледало 1 е активно. Знаете какво да правите.
Кратко. Загадъчно. Катастрофално.
Само два часа по-късно изследователи от Hudson Rock и Cybernews потвърдиха невъобразимото: най-голямото изтичане на пароли в историята беше факт. Тридесет набора от данни. Над 16 милиарда уникални идентификационни записа. И най-страшното — те бяха актуални.
Анатомия на пробива
Файлът, наречен RockYou2025, беше зловеща еволюция на предшествениците си RockYou2021 и RockYou2024. Но този път всичко беше различно: данните бяха чисти, добре структурирани и изключително опасни. Всеки запис съдържаше:
Уеб адрес или домейн
Потребителско име или имейл
Парола в обикновен текст (без криптиране)
Често и информация за устройството и времеви печат
Данните бяха събрани чрез инфостийлър зловреден софтуер като RedLine, Raccoon и Vidar — програми, които се разпространяват чрез фишинг имейли, пиратски софтуер или фалшиви разширения за браузъри. След като се инсталират, те незабелязано крадат пароли, бисквитки, крипто портфейли и други чувствителни данни, които изпращат към сървъри, контролирани от киберпрестъпници.
Обхватът на катастрофата
Още преди изгрев в Европа, изтичането се беше разпространило като дигитален пожар. Анализатори потвърдиха, че почти всяка голяма платформа е засегната:
Google, Apple, Facebook, Telegram, GitHub — всички компрометирани
Банкови портали, правителствени сайтове, здравни системи — изложени
Корпоративни VPN-и и вътрешни инструменти — разкрити
Особено тревожно беше, че много от паролите бяха на по-малко от 90 дни, което показва, че зловредните кампании все още са активни и продължават да събират данни.
Извършителите: дигитална хидра
За разлика от предишни масови пробиви, които често се свързваха с една група, RockYou2025 носеше следите на множество злонамерени актьори. Това беше консолидиран архив, съставен от:
Инфостийлър логове
Списъци за credential stuffing атаки
Данни от по-малки изтичания
Вероятно и от държавно спонсорирани шпионски кампании
Едно име се появяваше често в анализите: APT36, известна още като Transparent Tribe — група, свързана с Пакистан, с история на кибершпионаж срещу индийски цели. Макар да няма директна връзка с пробива, тяхната активност през пролетта на 2025 г. повдигна сериозни съмнения.
Цифровият Чернобил
Още същия ден ФБР издаде спешно предупреждение. Google призова потребителите да преминат към passkeys. Мениджъри на пароли като Bitwarden и 1Password отчетоха над 400% ръст в регистрациите. Но щетите вече бяха нанесени.
RockYou2025 не беше просто пробив. Това беше цифров Чернобил — невидим, безшумен, опустошителен. И това беше само началото.
2–10 юни 2025 – Последствията и сенчестите играчи
На 2 юни светът се събуди в състояние на дигитална тревога.
ИТ отдели по цял свят преминаха в режим на извънредна ситуация. Правителства активираха кризисни протоколи. Милиони потребители — от ученици до изпълнителни директори — получиха известия, че техните акаунти са компрометирани. RockYou2025, вече потвърден като съдържащ над 16 милиарда уникални идентификационни данни, се беше разпространил като дигитална буря.
Глобалната реакция
Още в 11:00 ч. българско време, ФБР издаде спешно предупреждение: вълна от атаки чрез „credential stuffing“ беше неизбежна. Google, Apple и Microsoft започнаха да насърчават потребителите си да преминат към passkeys — метод за удостоверяване без пароли, устойчив на фишинг.
До 3 юни, Bitwarden, 1Password и NordPass отчетоха над 400% ръст в новите регистрации. Telegram и GitHub започнаха да блокират подозрителни акаунти. Банки в Европа и Азия временно спряха онлайн достъпа, за да извършат масови нулирания на пароли.
Основните цели
Списъкът с компрометирани организации беше шокиращ:
Samsung Galaxy: 800 милиона акаунта засегнати
PowerSchool: 62 милиона образователни записа изтекли
Националният осигурителен институт на Мароко: 2 милиона идентичности разкрити
Telegram и GitHub: ключови платформи за комуникация и разработка
Държавни портали: Индия, Бразилия, ЕС — всички засегнати
Дори военни подизпълнители и здравни системи бяха сред засегнатите — доказателство, че никой не е в безопасност.
Кой стои зад това?
Форензичният анализ разкри, че пробивът е консолидиран архив, съставен от:
логове от инфостийлъри
списъци за credential stuffing
непубликувани досега течове
вероятно и данни от държавно спонсорирани кампании
Използваният зловреден софтуер — RedLine, Raccoon, Vidar — е бил активен месеци наред, разпространяван чрез пиратски софтуер, фалшиви разширения и фишинг имейли.
Нито една група не пое отговорност, но анализаторите насочиха вниманието си към APT36, известна още като Transparent Tribe — група, свързана с Пакистан и с история на кибершпионаж срещу Индия. Макар и без директна връзка, тяхната активност през май 2025 г. съвпадна подозрително с началото на пробива.
Преломен момент
До 10 юни светът на киберсигурността беше в пълен хаос. Компаниите извършваха масови нулирания на пароли. Правителствата създаваха кризисни щабове. А обществото — често за първи път — осъзна колко крехка е цифровата идентичност.
RockYou2025 не беше просто теч. Това беше аларма. Безмилостно напомняне, че в свят на повторно използвани пароли, една единствена може да се превърне в оръжие.
Източници:
