Les chercheurs de Cybernews ont découvert en accès libre une immense base contenant environ 24 milliards d’enregistrements. L’archive regroupait des identifiants, des mots de passe et des URL de pages de connexion, le tout stocké en clair. Selon les spécialistes, cette base pourrait avoir été constituée à partir de journaux de différents infostealers et d’autres fuites.
Pour Cybernews, le principal danger vient surtout de l’ampleur de cette découverte. Même si une partie des lignes est dupliquée, il pourrait toujours s’agir de milliards de comptes exposés à un risque de prise de contrôle. Les utilisateurs qui réutilisent leurs mots de passe sur plusieurs services et n’ont pas activé l’authentification multifactorielle sont les plus vulnérables.
Après sa découverte, la base a été rapidement fermée, ce qui a empêché les chercheurs de l’analyser en détail. Ils ont tout de même pu établir que les données provenaient d’au moins 36 sources différentes. Parmi elles figuraient des chaînes Telegram, des collections agrégées d’anciennes fuites et des ensembles de données apparemment exportés directement depuis des serveurs actifs de victimes.
Le volume total de l’archive dépassait 8 To, ce qui en fait l’un des plus grands ensembles de ce type jamais trouvés. Cybernews n’a pas pu déterminer précisément l’âge de tous les enregistrements, mais a relevé la présence d’un article d’actualité de février 2026. Cela pourrait indiquer que la base n’était pas un vieux dump abandonné, mais une collection régulièrement alimentée.
Le propriétaire de la base reste inconnu. La plupart des sources Telegram présentes dans la collection étaient en anglais, mais certaines étaient en russe. Environ 260 millions d’enregistrements, selon les chercheurs, provenaient de chaînes dont le nom contenait le mot Darkside, une référence au groupe de ransomware désormais inactif connu pour l’attaque contre Colonial Pipeline.
Cette découverte montre une fois de plus que les identifiants volés continuent de circuler dans des collections constamment mises à jour, même lorsque les piratages d’origine sont anciens. Pour les utilisateurs, la conclusion pratique reste la même: des mots de passe uniques pour chaque service, un gestionnaire de mots de passe et l’authentification multifactorielle ne sont plus un bonus, mais une base de sécurité.