top of page
Search

22.6 milliard yozuv sizdirildi: Telegramdan 1.7 milliard

Cybernews tadqiqotchilari foydalanuvchi nomlari, elektron pochta manzillari, ochiq matnli parollar va kirish URL manzillarini o'z ichiga olgan 24 milliard yozuvdan iborat himoyalanmagan (ochiq qolib ketgan) ma'lumotlar bazasini aniqladilar. Ma'lumotlar infostealer (ma'lumot o'g'irlovchi) zararli dasturlari jurnallaridan (loglaridan), zararlangan qurilmalardan o'g'irlangan hamda Telegram kanallari, ma'lumotlar sizib chiqishi to'plamlari va boshqa manbalardan yig'ilgan yozuvlardan iborat ekanligi ko'rinmoqda.

Asosiy xulosalar:

  • Cybernews tadqiqotchilari 24 milliard yozuv va 8,3 TB dan ortiq ma'lumotlarni o'z ichiga olgan, ochiq qolib ketgan Elasticsearch klasterini topdilar.

  • Yozuvlarning aksariyati foydalanuvchi nomlari, elektron pochta manzillari, parollar va kirish URL manzillarini o'z ichiga olgan infostealer jurnallari (loglari) bo'lib chiqdi.

  • Ma'lumotlar 36 ta manbadan, jumladan Telegram kanallari, sizib chiqqan ma'lumotlar to'plamlari va yirik "kolleksiyalar"dan olingan.

  • Tadqiqotchilar hozircha qancha yozuvlar takrorlanganini yoki bu holatdan jami qancha odam jabrlanganini aniq tasdiqlay olmaydilar.

  • Ma'lumotlar bazasi endi ommaga ochiq emas, biroq takroran ishlatilgan (bir xil) parollar hali ham akkauntlarni xavf ostida qoldirishi mumkin.

Millionlab yozuvlarning sizib chiqishi odatiy holga aylanib ulgurgan bir paytda, foydalanuvchi nomlari va parollarni o'z ichiga olgan 24 milliard yozuvning tarqalib ketishi umuman boshqa, o'ta jiddiy holatdir. Shuning uchun ham Cybernews tadqiqot jamoasi internetda ochiq qolib ketgan 8 terabaytdan ortiq ma'lumotni kashf qilgandan so'ng, o'z topilmalarini uch marta qayta tekshirib ko'rishlariga to'g'ri keldi.


Bizning jamoamiz 12-iyun kuni shu vaqtgacha ochiqlanib qolgan eng yirik maʼlumotlar bazalaridan biri boʻlishi mumkin boʻlgan bazani aniqladi. Tadqiqotchilarimizning fikricha, ochiq qolgan 24 milliard yozuvning mutlaq koʻpchiligi "infostealer" (maʼlumot oʻgʻrilovchi dasturlar) jurnallari (loglari) boʻlgan. Boshqacha aytganda, bular oʻgʻirlangan foydalanuvchi nomlari (loginlar), parollar hamda ushbu maʼlumotlar kirish huquqini berishi kerak boʻlgan xizmatlardir.

“Maxfiy maʼlumotlarning sizib chiqishi shunchaki uning ulkan hajmi tufayli ham xavflidir. Maʼlumotlar tarmoqqa sizib chiqqani sababli, milliardlab akkauntlar buzib kirilish (boshqaruvni qoʻlga kiritish) jiddiy xavfi ostida turibdi, ayniqsa, agar ular koʻp bosqichli tasdiqlov bilan himoyalanmagan boʻlsa”, deb tushuntirdi jamoa.

Maqola chop etilgandan soʻng, ushbu maʼlumotlar toʻplami oʻz mijozlariga taʼsir qilishi mumkin boʻlgan xavflarni aniqlash uchun foydalaniladigan kiberxavflarni tahlil qilish va maʼlumotlar buzilishini monitoring qilish platformasiga tegishli ekanligi maʼlum boʻldi. Platformani vaqtincha koʻchirish (migratsiya) jarayonida sozlamalardagi xatolik (notoʻgʻri konfiguratsiya) sababli maʼlumotlar ochiq qolib ketgan.

24 milliard yozuvdan iborat maʼlumotlar sizib chiqishi nimani fosh qildi?

Jamoamiz aniqlagan yozuvlar hamma uchun ochiq boʻlgan Elasticsearch klasterida — oʻzaro bogʻlangan qidiruv serverlari guruhida saqlangan. Klasterdagi maʼlumotlarning umumiy hajmi 8,3 terabaytdan oshib ketgan.

Ochiqlanib qolgan yozuvlarning deyarli barchasi "infostealer" jurnallari (loglari) — maxfiy maʼlumotlarni oʻgʻirlovchi zararli dasturiy taʼminot tomonidan toʻplangan maʼlumotlar boʻlgan. Jamoaning taʼkidlashicha, ushbu jurnallar tizimga kirish maʼlumotlarini qayta ishlanmagan (xom) formatda ochiqlagan. Unda har bir tizimga kirish maʼlumoti alohida saqlangan boʻlib, elektron pochta manzillari, foydalanuvchi nomlari (loginlar) va parollar ochiq (shifrlanmagan) matn koʻrinishida boʻlgan.

Bundan tashqari, tadqiqotchilar sizib chiqqan maxfiy maʼlumotlar kirish huquqini berishi kerak boʻlgan URL manzillarni, shuningdek, jurnallarning (loglarning) manbasini ham aniqlashdi.

Ochiqlanib qolgan maxfiy maʼlumotlar 36 ta alohida manbadan olingan boʻlib, ular Telegram kanallaridan tortib, avvalgi maʼlumotlar buzilishlarining birlashtirilgan toʻplamlarigacha va bevosita ishchi maqsadli serverlardan eksport qilingan maʼlumotlar bazalarigacha boʻlgan manbalarni qamrab oladi.

Maʼlumotlar sizib chiqishiga qaysi Telegram kanallari aloqador?

Masalan, 1,7 milliarddan ortiq yozuvlar turli Telegram kanallaridan olingan deb taxmin qilinmoqda. Ushbu kanallarning barchasi kiberjinoyatchilikka aloqador boʻlib, asosan oʻgʻirlangan maxfiy maʼlumotlar va maʼlumotlar buzilishiga ixtisoslashgan koʻrinadi.

36 ta maʼlumot manbasining aksariyati, yaʼni 30 dan ortigʻi Telegram kanallari boʻlib, ulardagi fosh boʻlgan yozuvlar soni yuzlab milliondan bir necha minggacha yetadi. Kanallarning aksariyati ingliz tilida boʻlsa, baʼzilari rus tilida boʻlgan.

Oʻgʻirlangan maxfiy maʼlumotlarni oʻz ichiga olgan Telegram kanallarini reklama qilmaslik maqsadida ularning nomlarini ochiqlamaymiz. Biroq, Telegram'dan olingan yozuvlarning aksariyati hakerlikka oid kanallardan yigʻilgan deb taxmin qilinadi.

Telegram kanallarining yana bir toifasi oʻgʻirlangan kredit karta maʼlumotlariga kirish imkonini beradi, bunda bitta kanal butunlay ushbu maʼlumotlarni tarqatishga ixtisoslashgani koʻrinib turibdi.

Qizigʻi shundaki, deyarli 260 million yozuv nomida “Darkside” soʻzi boʻlgan Telegram kanallaridan olingan. Bir necha yil muqaddam Darkside eng faol tovlamachi dastur (ransomware) guruhlari qatoriga kirar edi. Ushbu jinoiy guruh AQShning Sharqiy qirgʻogʻida yoqilgʻi taʼminotining uzilishiga sabab boʻlgan mashʼum Colonial Pipeline quvur liniyasiga hujum uyushtirgani bilan nom chiqargan.

Nomaʼlum “toʻplamlar”dagi milliardlab yozuvlar

Hayratlanarli darajadagi 22,6 milliard yozuv maʼlumotlar egasi tomonidan “collections” (toʻplamlar) deb nomlangan manbadan olingan deb taxmin qilinmoqda. Ushbu yozuvlar avvalroq internetga sizib chiqqan turli "infostealer" toʻplamlaridan olingan boʻlishi mumkin yoki ular yozuvlarning ruxsatsiz kirish imkonini berishi kerak boʻlgan xizmatlar boʻyicha guruhlanganligini anglatadi.

Maʼlumotlar aniqlangandan koʻp oʻtmay ommaviy koʻrishdan olib tashlangani sababli, tadqiqotchilarimiz “toʻplam” deb atalgan manba ichidagi maʼlumotlarning kelib chiqishini chuqurroq oʻrgana olishmadi.

Aynan shu sabab jamoaga aynan qaysi xizmat koʻrsatuvchi provayderlar xavf ostida qolganini aniq belgilashga xalaqit berdi. Biroq, ushbu jarayonga jalb qilingan yozuvlarning ulkan sonini hisobga olsak, ular juda katta foydalanuvchilar bazasiga ega boʻlgan xizmatlarga kirish imkonini fosh etgan boʻlishi ehtimoli juda yuqori.

Jamoa, shuningdek, “local database dumps” (mahalliy maʼlumotlar bazasi nusxalari) deb nomlangan 150 million yozuvdan iborat manbaga ham eʼtibor qaratdi. Ushbu manbadagi yozuvlar, katta ehtimol bilan, bevosita ishchi maqsadli serverlardan eksport qilinganligini koʻrsatadi. Mahalliy maʼlumotlar bazasi nusxalari (dumps) odatda maʼlum bir maʼlumotlar bazasi tarkibini foydalanuvchi qurilmasiga yuklab olishni anglatadi.


Ushbu muayyan holatda, “local data dumps” (mahalliy maʼlumotlar nusxalari) serverni boshqarayotgan shaxs yozuvlarni toʻplamga oʻzi yuklaganini yoki u maʼlumotlarni boshqa manbalardan olganini anglatishi mumkin.

“Bundan tashqari, yozuvlar ular import qilingan fayl nomlarini ham oʻz ichiga olgan. Umumiy hisobda kamida 195 ta alohida fayl nomi bor edi. Ulardan baʼzilari soʻz borayotgan maxfiy maʼlumotlar AntiPublic toʻplamidan kelganini va ular qanday akkauntlarni oʻz ichiga olishini koʻrsatardi”, dedi tadqiqotchilarimiz.

AntiPublic toʻplami — bu ilk bor 2016-yilda paydo boʻlgan va taxminan 600 million yozuvni oʻz ichiga olgan "stealer log combo list" (oʻgʻrilovchi dasturlar jurnallarining jamlangan roʻyxati) hisoblanadi. Sizib chiqish ichidagi AntiPublic bilan bogʻliq maʼlumotlar ushbu toʻplamdagi kirish maʼlumotlarini toifalarga ajratgan. Masalan, baʼzi fayllar faqat kattalar uchun moʻljallangan kontent xizmatlariga yoki faqat striming platformalariga kirish loginlarini oʻz ichiga olgan.

Yana 146 million yozuv “breach compilation combo” (maʼlumotlar buzilishlarining jamlanma toʻplami) deb nomlangan manbadan olingan boʻlib, katta ehtimol bilan foydalanuvchilarning maxfiy maʼlumotlari fosh boʻlgan oʻtmishdagi maʼlumotlar buzilishlariga oid axborotni oʻz ichiga oladi. Hujumchilar oʻtmishdagi maʼlumotlar buzilishlaridan olingan axborotlardan foydalanishni afzal koʻrishadi, chunki foydalanuvchilar koʻpincha bir xil parollarni qayta-qayta ishlatishadi va ularni kamdan-kam hollarda oʻzgartirishadi.

Eng kam yozuvga ega boʻlgan manba “Redline stealer” deb nomlangan boʻlib, u atigi 27 ta yozuvdan iborat edi. RedLine stealer — bu "malware-as-a-service" (MaaS — xizmat koʻrinishidagi zararli dastur) modelida ishlaydigan keng tarqalgan infostealer boʻlib, u past malakali hujumchilarga ham kiberjinoyatchilikda osongina ishtirok etish imkonini beradi.

Maʼlumotlar "egasi" yangiliklar maqolalari va ijtimoiy tarmoqlardagi postlarga qiziqqan

Qizigʻi shundaki, tadqiqotchilarimiz maʼlumotlar sizib chiqishida juda kamdan-kam uchraydigan axborotlarni oʻz ichiga olgan kichik bir maʼlumot toʻplamini (taxminan 17 000 ta yozuv) aniqlashdi. Masalan, 9 500 dan ortiq hujjatda tegishli GitHub repozitoriylarining URL manzillari bilan birga, CVE (Common Vulnerabilities and Exposures — Keng tarqalgan zaifliklar va xavflar) identifikatorlari (ID) hamda tavsiflari mavjud boʻlgan. Ochiq qolgan klasterda aniqlangan zaifliklardan biri Valhall GPU Kernel Driver (yadro drayveri) muammosi bilan bogʻliq boʻlgan.

Bundan tashqari, 5 200 dan ortiq hujjat yaqin orada sodir boʻlgan maʼlumotlar buzilishlariga oid yangiliklar maqolalarining jurnallarini (loglarini), jumladan maqola URL manzillari, ularning mazmuni va qisqacha tavsiflarini oʻz ichiga olgan. Yangiliklar maqolalaridan biri yaqindagina — 2026-yilning fevral oyida chop etilgan boʻlib, unda Python Package Index (PyPI) repozitoriysiga qaratilgan taʼminot zanjiri hujumi (supply chain attack) yoritilgan.

Yana 2 900 ta hujjat kiberxavfsizlik hodisalari bilan bogʻliq ijtimoiy tarmoqlardagi postlarning jurnallari (loglari) boʻlgan. Jamoamiz koʻrgan postlardan birida 2021-yildagi Babuk tovlamachi dasturining (ransomware) operatsion tafsilotlari muhokama qilingan.

Bularning barchasi maʼlumotlar egasi kiberxavfsizlik sohasidagi vaziyatni faol kuzatib borganidan dalolat beradi. U oʻzining ulkan maxfiy maʼlumotlar toʻplamini eng soʻnggi maʼlumotlar buzilishlari hamda sizib chiqishlaridan olingan yozuvlar bilan yangilab turishni maqsad qilgan boʻlishi ehtimoli juda yuqori.

Noaniq ma'lumotlar

Jamoamiz aniqlagan maʼlumotlar sizib chiqishi haqiqatan ham hayratlanarli darajadagi 24 milliard yozuvni oʻz ichiga olganiga ishonchimiz komil boʻlsa-da, hozirda yopilgan Elasticsearch klasteri ichidagi maʼlumotlar haqida bizga maʼlum boʻlgan jihatlar muayyan cheklovlarga ega.

Birinchidan, jamoaning ushbu sizib chiqishni tekshirish uchun vaqti cheklangan edi, bu esa bizga “Collections” (toʻplamlar) manbasiga kiritilgan boʻlishi mumkin boʻlgan maʼlumotlar turlarini chuqurroq oʻrganishga imkon bermadi.

Bundan tashqari, sizib chiqqan maʼlumotlar bazasida qancha takroriy yozuvlar (dublikatlar) borligini ishonch bilan baholay olmaymiz, bu esa maʼlumotlari xavf ostida qolgan shaxslarning ehtimoliy sonini aniqlashni shunchaki bir taxminga aylantiradi. Biroq, 24 milliard yozuvni oʻz ichiga olgan maʼlumotlar sizib chiqishi shunchaki bir necha emas, balki juda koʻp sonli onlayn akkauntlarga taʼsir qilishi hech kimni ajablantirmasa kerak.

Hozirgi bosqichda biz sizib chiqqan maʼlumotlarning qanchalik eski yoki yangi ekanligini ham aniq ayta olmaymiz. Maʼlumotlar sizib chiqishi tarkibidagi 2026-yil fevral oyiga oid yangiliklar maqolasiga tayanadigan boʻlsak, maʼlumotlar egasi klasterni muntazam ravishda yangi axborotlar bilan yangilab turgan koʻrinadi. Maqola yozilayotgan vaqtda biz maʼlumotlar egasi kimligini bilmas edik, biroq keyinchalik uning kiberxavflarni tahlil qiluvchi kompaniya (threat intelligence company) ekanligini bildik.

“Kompaniyalar ushbu maʼlumotlarni monitoring xizmati yoki xavfsizlikni tekshirish xizmati uchun toʻplashi mumkin, kiberjinoyatchilar (hujumchilar) esa ushbu maʼlumotlarni maʼlumotlar buzilishini amalga oshirishda yordam beradigan yangi eksploitlarni aniqlash maqsadida yigʻayotgan boʻlishi mumkin”, — dedi tadqiqotchilarimiz.

Shu bilan birga, jamoamizning fikricha, oʻtmishdagi maʼlumotlar sizib chiqishi haqida gap ketganda, hamma narsani gʻamlab qoʻyish (toʻplash) eng toʻgʻri yoʻldir.

“Nima uchun ular bunchalik koʻp maʼlumotni gʻamlamasligi kerak? Oʻtmishda sizib chiqqan maʼlumotlar hamda eksploitlar va hujumlar haqidagi axborotlarga kelsak, sizda qanchalik koʻp maʼlumot boʻlsa, shunchalik yaxshi. Chunki bu vaziyatni chuqurroq tahlil qilish imkonini beradi, buzib kirilgan tegishli akkauntlarni hamda muayyan nishonni qanday qilib chetlab oʻtish (buzib kirish) mumkinligini aniqlashga yordam beradi”, — deb tushuntirdi jamoa.

Maʼlumotlaringizni himoya qilish uchun hozir nima qilishingiz kerak?

Oʻzingizni xavfsiz saqlash uchun faol boʻlish va baʼzi oddiy, ammo oʻta muhim ehtiyot choralarini koʻrish zarur.

  • Parollarni yangilang: Foydalanuvchilar bir necha joyda qayta ishlatilgan parollarni imkon qadar tezroq oʻzgartirishlari kerak. Buni birinchi navbatda elektron pochta, ijtimoiy tarmoqlar, bulutli xotira va bank xizmatlari kabi asosiy akkauntlardan boshlash lozim.

  • Ikki bosqichli himoya: Imkoniyat bor joyda koʻp bosqichli tasdiqlov (MFA) yoqish shart.

  • Parollar menejeri: Murakkab hamda har bir sayt uchun takrorlanmas parollarni yaratish va eslab qolish uchun parollar menejeridan foydalanish ham ayni muddaodir.

  • Fishingdan ogoh boʻling: Foydalanuvchilar fishing (firgarlik) xabarlaridan ham hushyor boʻlishlari kerak. Baʼzi hollarda kiberjinoyatchilar goʻyoki foydalanuvchi maʼlumotlari sizib chiqqan-chiqmaganini "tekshirishda yordam berish" niqobi ostida soxta xizmatlarni reklama qilishi mumkin.

Shu oʻrinda, bir necha oqilona odatlar va vositalar shaxsiy maʼlumotlaringizni "infostealer"lardan (maʼlumot oʻgʻrilovchi dasturlardan) himoya qilishda hamda kiberjinoyatchilarning ularni qoʻlga kiritishini sezilarli darajada qiyinlashtirishda katta ahamiyatga ega boʻlishi mumkin.

  • Jamoat Wi-Fi tarmoqlarida VPN'dan foydalaning: Bu ulanishingiz xavfsiz va maxfiy boʻlishini taʼminlashga yordam beradi.

  • Shubhali xabarlarga eʼtiborli boʻling: Siz kutmagan yoki ishonmaydigan elektron xat yoxud xabarlardagi havolalar ustiga bosishda va biriktirilgan fayllarni yuklab olishda hushyor boʻling.

  • Dasturlarni yangilab boring: Barcha qurilmalaringizdagi ilovalar va operatsion tizimlarni muntazam yangilab boring, chunki yangilanishlar koʻpincha xavfsizlikka oid muhim tuzatishlarni oʻz ichiga oladi.

  • Ikki bosqichli tasdiqlovni (2FA) faollashtiring: Qoʻshimcha himoya qatlamini taʼminlash uchun ushbu funksiya mavjud boʻlgan har bir joyda uni yoqib qoʻying.

  • Faqat rasmiy manbalardan yuklab oling: Soxta yoki zararli dastur yuqtirilgan versiyalarga duch kelmaslik uchun ilova va dasturiy taʼminotlarni faqat rasmiy doʻkonlardan yoki ishonchli veb-saytlardan yuklab oling.

Milliardlab yozuvlarning sizib chiqishi odatiy holga aylanmoqda

Afsuski, milliardlab yozuvlarni oʻz ichiga olgan maʼlumotlar toʻplamlari tobora tez-tez ommaga ochiq holatda qolib ketmoqda. Shu yilning boshida jamoamiz 160 dan ortiq indekslarni oʻz ichiga olgan hamda asosan Xitoyga tegishli 8,7 milliard yozuvni saqlayotgan boshqa bir ochiq qolgan Elasticsearch klasterini aniqladi. Ushbu maʼlumotlar milliy fuqarolik ID raqamlaridan tortib turli biznes yozuvlarigacha qamrab olgan edi.

Shu bilan birga, oʻtgan yilning dekabr oyida jamoamiz 4,3 milliard yozuvdan iborat maʼlumotlar bazasini topdi, ularning baʼzilari LinkedIn platformasidan olingan shaxsiy maʼlumotlarni oʻz ichiga olgan edi. Hajmi 16 terabayt boʻlgan ushbu instansiya (baza nusxasi) elektron pochtalar, fotosuratlar, mehnat faoliyati tarixi va boshqa shaxsiy maʼlumotlarni oʻz ichiga olgan. Faqat bitta toʻplamning oʻzida fotosuratlar bilan birga 732 million yozuv mavjud edi.

2025-yil iyul oyida Cybernews tadqiqotchilari jami 16 milliard yozuvni oʻz ichiga olgan kirish maʼlumotlarining bir nechta toʻplamini aniqlab, tarixdagi eng yirik maʼlumotlar sizib chiqishlaridan birini fosh qilishdi. Jamoa har birida oʻn millionlab yozuvlardan tortib 3,5 milliarddan ortiq yozuvgacha boʻlgan 30 ta ochiq qolgan maʼlumotlar toʻplamini topdi.

Biroq, yaqindagi kashfiyot bilan tenglashtirish mumkin boʻlgan yagona maʼlumotlar sizib chiqishi — bu jamoamiz tomonidan 2024-yilda aniqlangan hodisadir. Ushbu oʻta ulkan sizib chiqish oʻtmishdagi koʻplab maʼlumotlar buzilishlaridan olingan maʼlumotlarni oʻz ichiga olgan boʻlib, u 26 milliarddan ortiq yozuvni qamrab olgan hayratlanarli darajadagi 12 terabayt axborotdan iborat edi.

Maʼlumotni ochiqlash xronologiyasi:

  • Sizib chiqish aniqlangan sana: 2026-yil 12-iyun

  • Sizib chiqish yopilganligi kuzatilgan sana: 2026-yil 15-iyun

  • Maqola tarjima qilingan sana: 2026-yil 22-iyun


Manba: Cybernews

Comments

bottom of page