⚡️🔥💥Крупнейшая в истории утечка данных: 16 миллиардов паролей скомпрометированы

Суть инцидента

Исследователи кибербезопасности из компании Cybernews обнаружили беспрецедентную утечку данных, в результате которой в открытый доступ попали почти 16 миллиардов логинов и паролей от учетных записей популярных онлайн-сервисов, включая Apple, Google, Facebook (Meta)*, GitHub, Telegram, различные VPN-платформы и даже государственные ресурсы. По оценкам экспертов, это крупнейший подобный инцидент в истории.

Характеристики утечки

- Объем данных: 16 миллиардов записей, организованных в 30 отдельных массивов, каждый из которых содержит от десятков миллионов до 3,5 миллиарда записей.
- Источник утечки: данные предположительно собирались с помощью вредоносных программ-инфостилеров, которые тайно похищали пароли и сессии пользователей с зараженных устройств.
- Свежесть данных: подавляющее большинство информации ранее не публиковалось и не встречалось в предыдущих утечках, что делает эти данные особенно ценными для злоумышленников.
- Формат данных: каждая запись содержит URL сервиса, логин и пароль, что позволяет автоматизировать взлом аккаунтов.

Какие сервисы затронуты

Утечка затронула практически все крупные онлайн-платформы:
- Технологические компании: Apple, Google, Microsoft
- Социальные сети: Facebook (Meta), Instagram (Meta*), Telegram
- Разработческие платформы: GitHub
- VPN-сервисы: различные провайдеры
- Государственные ресурсы: порталы госуслуг

*Примечание: Meta и ее сервисы признаны экстремистскими и запрещены в России.

Последствия и риски

Эксперты предупреждают о серьезных угрозах, связанных с этой утечкой:
- Массовые фишинговые атаки: злоумышленники могут использовать данные для целевых атак.
- Взлом аккаунтов: компрометация личных и рабочих учетных записей.
- Доступ к конфиденциальной информации: риск утечки персональных данных, финансовой информации и корпоративных секретов.
- Цепочка взломов: компрометация одного аккаунта может привести к потере доступа ко многим связанным сервисам.

Рекомендации по защите

1. Немедленная смена паролей на всех важных онлайн-аккаунтах.
2. Использование менеджеров паролей для генерации и хранения уникальных сложных комбинаций.
3. Активация многофакторной аутентификации (MFA) везде, где это возможно.
4. Осторожность с сообщениями - не переходить по ссылкам в подозрительных SMS и email.
5. Мониторинг утечек с помощью специализированных сервисов.
6. Переход на Passkeys (ключи доступа) как более безопасную альтернативу паролям.

Реакция компаний и органов власти

Крупные технологические компании, включая Google и Apple, уже начали предупреждать пользователей о необходимости усилить защиту аккаунтов. FBI также выпустило предупреждение о потенциальных последствиях этой утечки.

Вывод: текущая ситуация требует немедленных действий от всех пользователей интернета. Откладывать меры по защите своих аккаунтов более нельзя - скомпрометированные данные уже могут использоваться злоумышленниками.

🚫 На официальном портале обсуждения проектов НПА regulation.gov.ru сломалась авторизация.

Вход через ЕСИА невозможен, заканчивается ошибкой

Ошибка авторизации
Выполнение операции прервано из-за ошибки авторизации.

что не позволяет участвовать в общественных обсуждениях НПА.

📣Друзья, остаётся 4 дня до окончания обсуждения проекта приказа Минцифры о внесении изменений в требования к МЧД.

Пока сломался вход через ЕСИА есть альтернативный вариант подачи своих предложений - через регистрацию на сайте. Таким образом мне удалось оставить свое предложение.
Вы можете взять мой текст

Согласно пояснительной записке применение доверенности в электронной форме в машиночитаемом виде (далее – МЧД) неразрывно связано с использованием усиленной квалифицированной электронной подписи (УКЭП), включая квалифицированный сертификат ключа проверки электронной подписи, который не содержит паспортных данных физического лица.

Кроме того, обоснованно отмечено, что для идентификации представителя – физического лица, действующего на основании МЧД, достаточным является указание следующих сведений:
- фамилия, имя, отчество (ФИО),
- страховой номер индивидуального лицевого счета (СНИЛС),
- идентификационный номер налогоплательщика (ИНН).

Однако в проекте приказа сохраняется избыточное требование об обязательном указании даты рождения представителя, которая, как и паспортные данные, отсутствует в квалифицированном сертификате ключа проверки электронной подписи.

В связи с этим предлагаеся исключить из обязательных реквизитов МЧД дату рождения представителя, оставив ее указание на усмотрение сторон.

Данное изменение соответствует принципам минимизации избыточных данных и согласуется с действующими нормами использования УКЭП, что позволит избежать необоснованных административных барьеров при оформлении доверенностей в электронной форме.

или взять сокращённый вариант:

В пояснительной записке верно указано, что МЧД использует УКЭП, а квалифицированный сертификат не содержит паспортных данных. Для идентификации представителя достаточно ФИО, СНИЛС и ИНН. Однако в проекте приказа остаётся избыточное требование указывать дату рождения, которой нет в сертификате.

Предлагаю исключить дату рождения из обязательных реквизитов МЧД.

Есть реальная возможность исправить ещё одну ошибку Минцифры.

📣Госключ в 2026 году планирует создание настольной версии приложения, которая будет работать по тем же принципам, что и мобильная

Планирует ли Госключ опубликовать формуляр, а также какое отношение ФГБУ ЦЭКИ имеет отношение к данному проекту в статье не сообщается.

Что касается инфографики (спасибо, что сертификат, а не ЭЦП - есть прогресс у журналистов), то не понятно, а какие это сертификаты: все выданные сертификаты НЭП/КЭП Госключа, только КЭП по всем АУЦ? В общем журналисты РГ по-прежнему не умеют писать про электронную подпись.

✅Нужно было использовать HSM

https://www.rbc.ru/politics/04/06/2025/684005749a7947797709c8c0

📣✍️Подписан Федеральный закон от 24.06.2025 № 156-ФЗ "О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации"

Электронные договоры можно подписать на сайте ФНС России

ФНС России расширен функционал сервиса создания машиночитаемых документов – теперь в нём можно не только формировать договоры в формате PDF/A-3, но и подписывать их мобильной подписью.

Что изменилось? 
✔ Раньше документы нужно было скачивать и подписывать в сторонних сервисах. 
✔ Теперь всё в одном месте: создали → подписали → отправили контрагенту. 
✔ Приложение «Моя подпись» полностью бесплатное. 

Как это работает? 
📲 Установите «Моя подпись» (доступно для Android). 
🔐 Получите квалифицированный сертификат для мобильной подписи в Удостоверяющем центре ФНС России (для ИП и руководителей юрлиц). 
📑 Подписывайте договоры в сервисе.

Что будет дальше? 
В III квартале 2025 года добавят подписание: 
• счетов-фактур, 
• универсальных передаточных документов (УПД).

‼️УЦ ФНС России не выдает второй сертификат без отзыва первого, если только заявитель не получает второй сертификат с использованием иного типа носителя.
Итого, можно получить первый сертификат с использованием сертифицированного токена, второй - "обезличенный" для информационной системы, третий для мобильного приложения ФНС, четвертый - для Госключа.

🚀Об ЭП и УЦ