في واقعة تُعد الأكبر من نوعها حتى الآن، تم الكشف عن مجموعة هائلة تضم 1.3 مليار كلمة مرور وأكثر من 1.9 مليار بريد إلكتروني جرى تداولها على الإنترنت، مما أثار حالة من الذعر الرقمي على مستوى العالم.

أكبر قاعدة بيانات مسروقة في التاريخ

أعلنت منصة Have I Been Pwned (HIBP)، المتخصصة في كشف عمليات الاختراق، أنها قامت بمعالجة البيانات التي جمعتها من مصادر متعددة، حيث نشر قراصنة الإنترنت مزيجاً ضخماً من بيانات مسروقة.

وقال الرئيس التنفيذي للمنصة، تروي هانت، والذي اعترف بأن كلمة مروره موجودة ضمن القائمة، إن هذه القاعدة أكبر بثلاث مرات من أي اختراق سابق تم التعامل معه.

وتتضمن البيانات:

•1,957,476,021 بريداً إلكترونياً.

•1.3 مليار كلمة مرور.

•625 مليون كلمة مرور تظهر لأول مرة على المنصة.

ومع وجود أكثر من 5.5 مليار مستخدم للإنترنت حول العالم، حذر الباحثون من أن جمهوراً واسعاً قد يكون متضرراً بالفعل.

وتجمع البيانات بين، اختراقات قديمة سبق تسريبها، وقوائم الحشو بالبيانات (Credential stuffing).

وهي طرق يستخدمها القراصنة لتجربة كلمات المرور المسربة على حسابات عدة في منصات مختلفة.

ورغم أن بعض كلمات المرور كانت قديمة أو غير مستخدمة، إلا أن عدداً كبيراً منها ما زال يفتح حسابات نشطة، مما يشير إلى خطر حقيقي وواسع.

كيف تم التحقق من صحة البيانات؟

قامت HIBP بالتحقق عبر مطابقة كلمات المرور مع حسابات مستخدمين حقيقيين.

وقال هانت: «أكره العناوين المبالغ فيها عن الاختراقات، لكن حتى عنوان 2 مليار بريد إلكتروني مسرب لا يعد مبالغة هذه المرة».

وعالجت HIBP هذه المجموعة الضخمة باستخدام بنية Azure SQL، مع الإجراءات التالية:

•دمج 2 مليار سجل جديد مع 15 مليار سجل موجود مسبقاً.

•تقسيم البيانات إلى دفعات.

•تشفيرها والتحقق منها عدة مرات.

•تنفيذ اختبارات أداء مستمرة لمنع تعطّل الخدمة.

كما تم إرسال الإشعارات للبريد الإلكتروني للمستخدمين بشكل تدريجي لتجنب الحجب أو التعطيل.

كيف تحمي نفسك الآن؟ خطوات عاجلة

1- استخدم مديري كلمات المرور

ينصح الخبراء باستخدام تطبيقات موثوقة لإنشاء كلمات مرور قوية وفريدة لكل حساب.

2- تفعيل المصادقة الثنائية (2FA)

ويجب تفعيلها قبل كل شيء على:

•البريد الإلكتروني

•حسابات الإدارة

•الحسابات البنكية والمالية

3- تحديث كلمات المرور القديمة

يجب تغيير كلمات المرور فوراً، خصوصاً تلك المستخدمة في حسابات متعددة، ولا تستخدم كلمة المرور نفسها مرتين.

4- للشركات: إجراءات أوسع

على المؤسسات القيام بما يلي:

•فحص بيانات الموظفين بحثاً عن كلمات مرور مكشوفة.

•تفعيل أنظمة كشف كلمات المرور المخترقة.

•اعتماد سياسة «انعدام الثقة» Zero Trust.

•تقييد الصلاحيات وإزالة الحسابات القديمة.

•مراقبة محاولات الحشو بالبيانات بشكل مستمر.