Badacze z Cybernews odkryli publicznie dostępną ogromną bazę danych zawierającą około 24 mld rekordów. W archiwum znajdowały się loginy, hasła i adresy URL stron logowania, a wszystko było zapisane jawnym tekstem. Zdaniem specjalistów baza mogła powstać z logów różnych infostealerów oraz innych wycieków.
Cybernews wiąże największe zagrożenie przede wszystkim ze skalą znaleziska. Nawet jeśli część wpisów się powtarza, nadal może chodzić o miliardy kont narażonych na przejęcie. Szczególnie podatni są użytkownicy, którzy używają tego samego hasła w wielu serwisach i nie włączyli uwierzytelniania wieloskładnikowego.
Po wykryciu baza została szybko zamknięta, więc badacze nie mogli przeprowadzić pełnej analizy. Udało im się jednak ustalić, że dane pochodziły z co najmniej 36 różnych źródeł. Wśród nich wymieniono kanały Telegram, połączone kolekcje wcześniejszych wycieków oraz zestawy danych prawdopodobnie wyeksportowane bezpośrednio z działających serwerów ofiar.
Całkowity rozmiar archiwum przekraczał 8 TB, co czyni je jedną z największych znalezionych kolekcji tego typu. Cybernews nie był w stanie dokładnie określić wieku wszystkich rekordów, ale zauważył w środku artykuł informacyjny z lutego 2026 roku. Może to sugerować, że baza nie była starym porzuconym dumpem, lecz regularnie uzupełnianą kolekcją.
Właściciel bazy pozostaje nieznany. Większość źródeł Telegram w kolekcji była anglojęzyczna, ale część była po rosyjsku. Około 260 mln rekordów, według badaczy, pochodziło z kanałów, których nazwy zawierały słowo Darkside — odniesienie do nieaktywnej już grupy ransomware znanej z ataku na Colonial Pipeline.
To znalezisko ponownie pokazuje, że skradzione dane logowania nadal żyją w stale aktualizowanych kolekcjach, nawet jeśli konkretne włamania miały miejsce dawno temu. Dla użytkowników praktyczny wniosek pozostaje ten sam: unikalne hasła dla każdej usługi, menedżer haseł i uwierzytelnianie wieloskładnikowe nie są już dodatkiem, lecz podstawową koniecznością.