Изтеклите пароли – тихата заплаха, която подкопава сигурността на бизнеса

Когато достъпите на една организация – потребителско име и парола – попаднат в чужди ръце, последствията често не се виждат веднага. Но в дългосрочен план щетите могат да бъдат сериозни. Забравете за холивудските сцени с хакери, които пробиват сложни системи – в реалния живот често е достатъчна една открадната парола, за да започне пробив.

Според Verizon Data Breach Investigations Report 2025, през 2024 г. 22% от киберинцидентите са започнали с изтекли данни за вход. Това е повече от фишинг атаките и дори уязвимостите в софтуера. Казано по-просто – почти всяка четвърта атака е започнала с обикновено влизане през „предната врата“.

Ръст, подхранван от автоматизация и достъпност

Нов доклад на компанията Cyberint показва, че през 2025 г. изтеклите идентификационни данни са се увеличили с 160% спрямо предходната година. Само за един месец те са открили над 14 000 активни служебни акаунта с изтекли пароли.

Причините:

Автоматизирани атаки – зловреден софтуер за кражба на данни (infostealer), който може да бъде купен или нает от всеки, дори без особени умения.
Фишинг с помощта на AI – кампании, които звучат и изглеждат напълно автентично.
Търговия в тъмната мрежа – изтеклите пароли се продават в пакети във форуми, Telegram канали и черни пазари.

Интересен факт – когато парола изтече чрез публично хранилище като GitHub, средно са нужни 94 дни, за да бъде премахната и сменена. Това е тримесечен прозорец, в който атакуващият може да действа необезпокояван.

Как се използват изтеклите пароли

Откраднатите данни за вход са истинска „валута“ в престъпния свят. Те могат да бъдат използвани за:

Превземане на акаунти – изпращане на фишинг имейли, измами с плащания или промяна на данни.
Credential stuffing – ако потребителят използва една и съща парола на няколко места, пробивът в един акаунт води до верижни пробиви.
Разпространение на спам и ботнети – използване на имейл или социални профили за кампании.
Изнудване – заплахи за публично разкриване на данните срещу откуп.

Понякога последствията са косвени. Например, пробив в личен имейл може да отвори достъп до фирмени ресурси чрез имейли за възстановяване на пароли или споделени линкове с важни файлове.

Как работят системите за откриване

Cyberint използва автоматизирани системи и AI, за да следи изтекли данни в отворената, дълбоката и тъмната мрежа. Те съпоставят домейни, повторно използвани пароли и друга информация, за да откриват потенциални пробиви дори когато данните се публикуват анонимно.

Експертите на компанията допълват процеса с ръчни разследвания в затворени форуми, за да проверят достоверността и да предотвратят злоупотреби преди те да започнат.

Интересното е, че 46% от устройствата, свързани с фирмени пробиви, изобщо не са били под наблюдение от системи за защита на крайни точки – често става дума за лични лаптопи или телефони на служители.

Реакцията е ключът

Дори със силни пароли, двуфакторна автентикация и модерни филтри, рискът от пробив остава. Разликата между успешната и неуспешната защита е скоростта на откриване и ясните процедури за реакция.

Добрата практика включва:

Силна паролна политика – редовна смяна и забрана за повторно използване.
SSO и MFA – добавяне на втори фактор при вход.
Ограничаване на опитите за вход – защита от brute-force атаки.
Принцип на минимални права (PoLP) – достъп само до необходимите ресурси.
Обучения за фишинг – за намаляване на първоначалните течове.
Мониторинг на изтичания – сканиране на форуми и пазари за корпоративни данни.

Преди следващата парола да изтече

Въпросът не е дали вашата организация вече има изтекли акаунти, а дали сте ги открили. Хиляди активни служебни профили се разпространяват в момента онлайн, често с допълнителна информация като VPN достъп или сесийни „бисквитки“. След като бъдат споделени, те бързо се разпространяват и стават невъзможни за изтриване.

Единственото реално предимство на защитата е ранното откриване – преди данните да бъдат използвани. А това започва с това да знаете къде да търсите.