Μια τεράστια διαρροή δεδομένων με πάνω από 183 εκατομμύρια κωδικούς ήρθε σήμερα (Δευτέρα 27/10) στο φως της δημοσιότητας, προκαλώντας σοβαρές ανησυχίες για την ασφάλεια εκατομμυρίων χρηστών σε υπηρεσίες της Google, όπως το Gmail, αλλά και σε διάφορες πλατφόρμες social media.
Η αποκάλυψη αυτή ακολουθεί το περιστατικό που είχε αποκαλυφθεί τον Μάιο του 2025.
Μια τεράστια βάση δεδομένων με κωδικούς
Η πρώτη αναφορά για μια μαζική διαρροή είχε γίνει στις 22 Μαΐου, όταν το Forbes αποκάλυψε ότι περισσότεροι από 184 εκατομμύρια κωδικοί και στοιχεία σύνδεσης, περιλαμβανομένων χρηστών της Apple, του Facebook και του Instagram, είχαν εκτεθεί.
Όπως σημείωνε τότε το περιοδικό, «μια τεράστια βάση δεδομένων γεμάτη με κωδικούς, διευθύνσεις email και ονόματα χρηστών βρισκόταν απλώς εκεί, απροστάτευτη, σε απλό κείμενο (.txt), διαθέσιμη σε οποιονδήποτε».
Ο ερευνητής κυβερνοασφάλειας Τζερεμάια Φάουλερ, που ανακάλυψε τη βάση δεδομένων και δημοσίευσε την αναφορά στην ιστοσελίδα Website Planet, υπογράμμισε ότι «οι εγγραφές παρουσιάζουν πολλαπλές ενδείξεις ότι τα εκτεθειμένα δεδομένα συλλέχθηκαν από κάποιο είδος κακόβουλου λογισμικού, τύπου infostealer».
Στην έκθεσή του, ο ερευνητής επισήμανε πως εκτός από στοιχεία σύνδεσης για πλατφόρμες όπως της Apple, το Facebook, το Instagram, το Roblox και το Snapchat, εντόπισε «διαπιστευτήρια για τραπεζικούς και χρηματοοικονομικούς λογαριασμούς, πλατφόρμες υγείας και κυβερνητικές πύλες από πολλές χώρες, τα οποία θα μπορούσαν να θέσουν σε σοβαρό κίνδυνο τα εκτεθειμένα άτομα».
Παράλληλα, ο συντάκτης του ρεπορτάζ του Forbes ανέφερε ότι απευθύνθηκε σε Apple, Meta, Roblox και Snapchat ζητώντας σχόλιο σχετικά με την ανακάλυψη των κωδικών σε απλό κείμενο (.txt) και συμβουλές για τους χρήστες τους.
Πρόσβαση σε κάθε πλατφόρμα
Όπως εξήγησε ο Φάουλερ στο Wired, ο ίδιος συνήθως μπορεί να εντοπίσει ποιος ελέγχει μια βάση δεδομένων από το περιεχόμενό της — στοιχεία για έναν οργανισμό, δεδομένα πελατών ή εργαζομένων ή άλλες ενδείξεις για τον σκοπό συλλογής των δεδομένων. Ωστόσο, στην προκειμένη περίπτωση, η βάση δεν περιείχε καμία ένδειξη σχετικά με τον κάτοχο ή την προέλευση των δεδομένων.
Το εύρος και η ποικιλία των στοιχείων σύνδεσης, που περιλάμβαναν λογαριασμούς από πλήθος ψηφιακών υπηρεσιών, υποδηλώνουν ότι τα δεδομένα αποτελούσαν κάποια μορφή συλλογής, πιθανόν από ερευνητές που μελετούσαν παραβιάσεις δεδομένων ή κυβερνοεγκληματική δραστηριότητα, ή από τους ίδιους τους επιτιθέμενους μέσω κακόβουλου λογισμικού τύπου infostealer.
«Αυτό είναι πιθανότατα ένα από τα πιο περίεργα περιστατικά που έχω συναντήσει εδώ και πολλά χρόνια», δήλωσε ο Φάουλερ και τόνισε: «Όσον αφορά τον παράγοντα κινδύνου, αυτός είναι πολύ μεγαλύτερος από ό,τι συνήθως, επειδή πρόκειται για άμεση πρόσβαση σε ατομικούς λογαριασμούς. Είναι η λίστα ονείρων κάθε κυβερνοεγκληματία».
Σε δείγμα 10.000 εγγραφών που ανέλυσε, εντοπίστηκαν 479 λογαριασμοί Facebook, 475 Google, 240 Instagram, 227 Roblox, 209 Discord και πάνω από 100 λογαριασμοί Microsoft, Netflix και PayPal.
Το μικρό αυτό δείγμα -ένα απειροελάχιστο ποσοστό του συνόλου- περιλάμβανε επίσης στοιχεία σύνδεσης για Amazon, Apple, Nintendo, Snapchat, Spotify, Χ, WordPress και Yahoo, μεταξύ άλλων. Μια αναζήτηση λέξεων-κλειδιών που πραγματοποίησε ο Φάουλερ στο δείγμα εντόπισε 187 αναφορές της λέξης «bank» (τράπεζα) και 57 της λέξης «wallet» (πορτοφόλι).
Στο δείγμα των 10.000 εγγραφών βρέθηκαν 220 διευθύνσεις email με κατάληξη .gov, οι οποίες συνδέονταν με τουλάχιστον 29 χώρες, μεταξύ των οποίων οι ΗΠΑ, η Αυστραλία, ο Καναδάς, η Κίνα, η Ινδία, το Ισραήλ, η Νέα Ζηλανδία, η Σαουδική Αραβία και η Βρετανία.
Αν και ο Φάουλερ δεν κατάφερε να εντοπίσει ποιος δημιούργησε τη βάση δεδομένων ή την αρχική πηγή των στοιχείων σύνδεσης, ανέφερε το περιστατικό στην εταιρεία φιλοξενίας World Host Group, με την οποία συνδεόταν η βάση. Η πρόσβαση απενεργοποιήθηκε γρήγορα, σύμφωνα με τον ερευνητή.
Ωστόσο, δεν είναι σαφές αν κάποιος άλλος εκτός από τον Φάουλερ είχε αποκτήσει πρόσβαση στο υλικό όσο παρέμενε ενεργό.
Η «ανησυχητικά ταιριαστή χρονική σύμπτωση»
Λίγους μήνες αργότερα, και μέσα σε μια «ανησυχητικά ταιριαστή χρονική σύμπτωση», όπως σχολίασε τη Δευτέρα το Forbes, ήρθε στη δημοσιότητα νέα διαρροή που περιλαμβάνει 183 εκατομμύρια κωδικούς και στοιχεία σύνδεσης από περιστατικό του Απριλίου 2025.
Ο δημιουργός της βάσης δεδομένων «Have I Been Pwned», Τρόι Χαντ, πρόσθεσε τις διευθύνσεις ιστοσελίδων, τα email και τους κωδικούς στη βάση του, αναφέροντας ότι τα δεδομένα αποτελούνταν από «αρχεία infostealer και λίστες credential stuffing», στα οποία περιλαμβάνονταν επιβεβαιωμένα στοιχεία σύνδεσης του Gmail.
Αυτό που προκαλεί τη μεγαλύτερη εντύπωση είναι ο όγκος των δεδομένων που εκλάπησαν: η βάση, μεγέθους 3,5 terabyte, περιείχε περίπου 23 δισεκατομμύρια εγγραφές, σύμφωνα με το Forbes Business.
Το μεγαλύτερο μέρος των πληροφοριών προήλθε από το ερευνητικό έργο Synthient, ένα ετήσιο πρόγραμμα συλλογής δεδομένων για τη δραστηριότητα των infostealers, με πληροφορίες συγκεντρωμένες από φόρουμ, μέσα κοινωνικής δικτύωσης, το Telegram και το dark web.
Σύμφωνα με τον Χαντ, το 92% των δεδομένων που προστέθηκαν στη βάση Have I Been Pwned προέρχονταν από προηγούμενες διαρροές, ενώ το υπόλοιπο 8% -περίπου 16,4 εκατομμύρια μοναδικές διευθύνσεις email και κωδικοί- ήταν νέα.
Ανάμεσα στα δεδομένα που προήλθαν από πληθώρα ιστοσελίδων και οργανισμών, το Gmail αποτέλεσε μία από τις μεγαλύτερες υποκατηγορίες, όπου οι λογαριασμοί παραβιάστηκαν απευθείας.
Γιατί είναι ανησυχητικό
Ένα από τα σημαντικότερα ζητήματα που προκαλεί ανησυχία είναι ότι, τα συγκεκριμένα στοιχεία σύνδεσης χρησιμοποιούνται συχνά για πρόσβαση σε διάφορες υπηρεσίες του οικοσυστήματος της Google, καθώς και σε διαδικτυακές τράπεζες, υπηρεσίες cloud storage και άλλες πλατφόρμες.
Οι χρήστες που φοβούνται ότι τα δεδομένα τους μπορεί να περιλαμβάνονται στη διαρροή μπορούν να πληκτρολογήσουν τη διεύθυνση email τους στην ιστοσελίδα του Have I Been Pwned, η οποία θα τους ενημερώσει αν αυτή έχει εντοπιστεί σε κάποιο από τα σχετικά αρχεία.
Σε περίπτωση που βρεθεί, συστήνεται να αλλάξουν άμεσα τον κωδικό τους και να βεβαιωθούν ότι δεν χρησιμοποιούν τον ίδιο σε άλλους λογαριασμούς.
Η αντίδραση της Google
Η Google, από την πλευρά της, διευκρίνισε ότι η πρόσφατη δραστηριότητα «δεν αποτελεί μια νέα, ειδική επίθεση που στοχεύει το Gmail».
Εκπρόσωπος της εταιρείας δήλωσε: «Αυτή η αναφορά καλύπτει γνωστή δραστηριότητα infostealer που στοχεύει πολλούς διαφορετικούς τύπους διαδικτυακής δραστηριότητας. Δεν υπάρχει νέα, στοχευμένη επίθεση εναντίον του Gmail. Προστατεύουμε τους χρήστες από τέτοιες επιθέσεις με πολλαπλά επίπεδα άμυνας, συμπεριλαμβανομένης της επαναφοράς κωδικών όταν εντοπίζουμε περιστατικά κλοπής διαπιστευτηρίων. Ενθαρρύνουμε τους χρήστες να ενισχύσουν οι ίδιοι την ασφάλειά τους ενεργοποιώντας την επαλήθευση δύο βημάτων και χρησιμοποιώντας passkeys ως μια απλούστερη και ισχυρότερη εναλλακτική στους κωδικούς πρόσβασης».
Η Google συμβούλευσε επίσης τους χρήστες που θεωρούν ότι τα στοιχεία τους μπορεί να έχουν παραβιαστεί να συνδεθούν και να ελέγξουν τη δραστηριότητα του λογαριασμού τους άμεσα, και αν δεν μπορούν να συνδεθούν, να επισκεφθούν τη σελίδα ανάκτησης λογαριασμού.
Επιπλέον, μέσω του Κέντρου Βοήθειας της Google, οι χρήστες μπορούν να ελέγξουν αν κάποιοι από τους κωδικούς τους έχουν παραβιαστεί μέσω του Password Checkup ή του Google Password Manager, εφόσον χρησιμοποιούν τον Chrome.
Όπως ανέφερε η εταιρεία, «θα σας ζητήσουμε να αλλάξετε τον κωδικό πρόσβασης του Λογαριασμού Google σας αν θεωρούμε ότι μπορεί να μην είναι ασφαλής, ακόμη κι αν δεν χρησιμοποιείτε το Password Checkup».
Η εταιρεία πρόσθεσε ακόμη: «Επιπλέον, για να βοηθήσουμε τους χρήστες, διαθέτουμε μια διαδικασία επαναφοράς κωδικών όταν εντοπίζουμε μαζικές διαρροές διαπιστευτηρίων όπως αυτή».
Κίνδυνοι από τη διαρροή δεδομένων
Οι κίνδυνοι από την έκθεση τέτοιων δεδομένων είναι άμεσοι και πολλαπλοί: η γνώση εκατομμυρίων στοιχείων σύνδεσης αποτελεί θησαυρό για τους κυβερνοεγκληματίες, οι οποίοι διαθέτουν μια σειρά από αποδεδειγμένα αποτελεσματικές μεθόδους εκμετάλλευσης.
Μία από τις πιο συνηθισμένες απειλές είναι οι επιθέσεις credential stuffing — πολλοί χρήστες εξακολουθούν να χρησιμοποιούν τον ίδιο κωδικό σε πολλούς λογαριασμούς, και οι εγκληματίες χρησιμοποιούν αυτοματοποιημένα σενάρια για να δοκιμάσουν συνδυασμούς email/κωδικού πρόσβασης σε εκατοντάδες ή χιλιάδες ιστοτόπους και υπηρεσίες. Ακόμη και αν μόνο ένας λογαριασμός παραμένει ενεργός και αποκτηθεί μη εξουσιοδοτημένη πρόσβαση, αυτό μπορεί να δημιουργήσει σοβαρούς κινδύνους ασφαλείας και να ανοίξει την «πόρτα» σε πολλαπλές επιθέσεις, ανάλογα με τη φύση του λογαριασμού.
Η «κατάληψη λογαριασμών» (account takeover — ATO) είναι επίσης ρεαλιστικός και συχνός κίνδυνος όταν αρκεί μόνο όνομα χρήστη και κωδικός. Λογαριασμοί χωρίς ενεργοποιημένη επαλήθευση δύο βημάτων (2FA) βρίσκονται σε μεγαλύτερο κίνδυνο πλήρους ανακατάληψης. Μόλις αποκτήσουν τον έλεγχο, οι κακόβουλοι έχουν πρόσβαση σε προσωπικά αναγνωρίσιμα στοιχεία, μηνύματα και άλλα δεδομένα που βρίσκονται στον λογαριασμό, με πιθανές συνέπειες κλοπής ψηφιακής ταυτότητας, οικονομικής απάτης ή στοχευμένων μηχανισμών εξαπάτησης σε βάρος φίλων, συγγενών ή συνεργατών του θύματος.
Σε επίπεδο επιχειρήσεων, τα στοιχεία που περιλαμβάνουν εταιρικά διαπιστευτήρια δημιουργούν τον κίνδυνο βιομηχανικής κατασκοπίας: επιτιθέμενοι μπορούν να επιχειρήσουν πρόσβαση σε εσωτερικά δίκτυα εταιρειών ή οργανισμών (intranet) για να κλέψουν κρίσιμα επιχειρηματικά δεδομένα, να διεξαγάγουν κατασκοπεία ή να εξαπολύσουν επιθέσεις με λογισμικό λύτρων (ransomware).
Τέλος, η γνώση παλαιότερων κωδικών και διευθύνσεων email καθιστά πιο πειστικές τις επιθέσεις phishing: ακόμα κι αν ένας παλιός κωδικός δεν είναι πλέον έγκυρος, όταν οι κυβερνοεγκληματίες έχουν στη διάθεσή του παλαιά στοιχεία τους βοηθά στη σύνταξη πιο αξιόπιστων μηνυμάτων που μιμούνται έμπιστες επαφές των θυμάτων. Έγγραφα και μηνύματα ετών μπορούν να προσφέρουν πολύτιμες πληροφορίες για τη δημιουργία στοχευμένων επιθέσεων κατά των ιδιοκτητών των λογαριασμών.