كشف الباحث في الأمن السيبراني جيرميا فاولر عن قاعدة بيانات متاحة على الإنترنت تضم أكثر من 149 مليون سجل من بيانات الدخول، تشمل عناوين بريد إلكتروني وكلمات مرور وروابط مباشرة لصفحات الدخول، من دون أي حماية أو تشفير. ويبلغ حجم هذه القاعدة نحو 96 غيغابايت، وفق تقرير نشرته ExpressVPN في 23 يناير 2026.
أظهرت عينة من السجلات احتواءها على معلومات حساسة، مما يفتح المجال لهجمات تعتمد على حشو بيانات الاعتماد أو الاستحواذ على الحسابات الشخصية والمؤسسية.
برمجيات خبيثة تعمل بصمت على سرقة بيانات المستخدمين
رجح فاولر أن هذه البيانات ناتجة عن استخدام برمجيات خبيثة تعرف باسم Infostealer، وهي مصممة لسرقة معلومات الدخول من الأجهزة المصابة عبر تقنيات متعددة تشمل تسجيل ضغطات المفاتيح وسرقة محتوى الحافظة وملفات تعريف الارتباط ورموز الجلسات.
تضمنت قاعدة البيانات بنية فنية تظهر فصل السجلات وفق الضحية والمصدر، مع استخدام تجزئة رقمية فريدة لتفادي التكرار، لكن التقرير أشار إلى غياب أي مؤشرات على الجهة المالكة أو طبيعة استخدام البيانات.
حسابات حكومية ومنصات ترفيه وخدمات مالية ضمن البيانات المسربة
أورد التقرير أن البيانات المسربة تشمل حسابات عبر طيف واسع من الخدمات، منها منصات التواصل الاجتماعي والبث الترفيهي والخدمات المالية، وصولاً إلى نطاقات حكومية .gov. وتكمن الخطورة في إمكانية استخدام هذه الحسابات الحكومية كنقاط دخول لشبكات أوسع أو لأغراض تصيد موجه.
بلغ عدد الحسابات المرتبطة بـ Gmail نحو 48 مليوناً، وYahoo أربعة ملايين، وOutlook 1.5 مليون، وiCloud قرابة 900 ألف، إضافة إلى 1.4 مليون حساب لنطاقات .edu. كما شملت العينة المسربة حسابات على Facebook (17 مليون) وInstagram (6.5 مليون) وTikTok (780 ألف) وNetflix (3.4 مليون) وBinance (420 ألف). وأكدت تغطيات لاحقة إزالة القاعدة بعد الإبلاغ عنها.
الاستضافة استمرت أسابيع رغم الإبلاغ
أفاد فاولر أنه أبلغ مزود الاستضافة عبر القنوات الرسمية، وتلقى رداً يشير إلى أن الجهة المسؤولة تعمل باستقلالية رغم استخدامها اسم الشركة الأم. وقد تطلب الأمر قرابة شهر وعدة محاولات قبل أن تعلق الاستضافة، ما يشير إلى بطء التفاعل مع الحوادث الأمنية.
ووفق التقرير، زاد عدد السجلات خلال الفترة بين لحظة الاكتشاف والتعطيل، ما يدل على أن القاعدة كانت تتلقى تحديثات نشطة أثناء الانكشاف.
خطوات وقائية للحد من الأثر الأمني بعد تسريب بيانات الدخول
توصيات للمستخدمين: كيف تحمي حساباتك الشخصية من الاستحواذ
في ظل تسريب ضخم تضمن بيانات دخول حساسة، باتت حماية الحسابات الشخصية أولوية ملحة. لا يقتصر الأمر على تغيير كلمات المرور، بل يتطلب التعامل بحذر مع الجهاز نفسه وطرق الوصول المختلفة. وفيما يلي أبرز الخطوات:
- فحص الجهاز قبل أي إجراء: تغيير كلمة المرور على جهاز مخترق يعرض الكلمة الجديدة للسرقة أيضاً. ينصح بإجراء فحص شامل باستخدام برامج الحماية الموثوقة.
- تحديث النظام والتطبيقات: تأكد من أن نظام التشغيل وتطبيقات الحماية محدثة، وفحص الامتدادات في المتصفح والتطبيقات التي تطلب صلاحيات الوصول إلى لوحة المفاتيح أو نظام الملفات.
- تفعيل المصادقة متعددة العوامل (MFA): الأفضلية دائماً للمفاتيح الأمنية أو التطبيقات المخصصة بدلاً من الرسائل النصية التي يسهل اختراقها.
- عدم إعادة استخدام كلمات المرور: استخدم مدير كلمات مرور لإنشاء كلمات فريدة لكل خدمة لتقليل خطر تسلسل الاختراقات.
توصيات للمؤسسات: إجراءات تقنية وتنظيمية لتقليل مخاطر الاستغلال
بالنسبة للمؤسسات، فإن تسريب قواعد بيانات بهذه الحساسية يتطلب مراجعة السياسات الأمنية بسرعة، مع تطبيق إجراءات تحكم وقائية ووقائية نشطة. وتشمل أبرز التوصيات:
- فرض المصادقة متعددة العوامل: خصوصاً على البريد الإلكتروني والأنظمة الحساسة، مع تفضيل وسائل التحقق المتقدمة.
- تحليل محاولات الدخول غير الاعتيادية: مراقبة أنماط الحشو وتكرار المحاولات وربطها باستجابات تلقائية مثل التجميد المؤقت أو إعادة التحقق.
- تقليل عمر رموز الجلسات: تقنيات Infostealer لا تستهدف كلمات المرور فقط، بل ملفات تعريف الارتباط ورموز الجلسات أيضاً، ما يفرض ضرورة ربط الجلسة بالجهاز وتقليص صلاحيتها الزمنية.
- برامج توعية مستمرة: رفع وعي الموظفين بمخاطر المرفقات والروابط المشبوهة، والتعامل مع الإضافات والمتصفحات، خصوصاً أن العدوى كثيراً ما تبدأ من إضافات تبدو شرعية.
تمثل هذه الخطوات خط الدفاع الأول في مواجهة الاستغلال المحتمل، وهي لا تضمن الوقاية الكاملة لكنها تقلل الأثر بدرجة كبيرة، وتمنح المستخدمين والمؤسسات فرصة استباق الهجمات أو احتوائها بسرعة.
