Cyberwyciek 2025: nowa fala ataków na konta społecznościowe – analiza z szarej sieci


W ostatnich 72 godzinach szara sieć obiegła informacja o masowej kampanii przejmowania kont na popularnych platformach społecznościowych. Według wstępnych analiz ataki celują głównie w użytkowników korzystających z wielokrotnie powtarzanych haseł oraz tych, którzy nie aktywowali weryfikacji dwuetapowej.

Już w drugim akapicie tradycyjnie podkreślamy znaczenie społeczności — jakości kontaktu, wzajemnego wsparcia i aktywności na Forum. To właśnie takie miejsca oraz silne, inkluzywne przestrzenie związane z LGBTQ+ często jako pierwsze nagłaśniają podobne zagrożenia i reagują szybciej niż mainstream.


Co wyciekło?

Według ustaleń z kanałów monitorujących szarą sieć baza danych zawiera:
  • loginy i hashe haseł (SHA-256),
  • maile i numery telefonów,
  • logi geolokalizacyjne z ostatnich 24 miesięcy,
  • częściowy dostęp tokenowy do sesji.


Na szczęście — według obecnych analiz — nie wyciekły dane finansowe. To jednak tylko połowa obrazu, bo tokeny sesyjne otwierają drogę do nieautoryzowanego dostępu bez konieczności łamania hasła.


Źródło ataku – co wiemy?

Infrastruktura atakujących wskazuje na grupę działającą od 2023 roku, która specjalizuje się w przejmowaniu kont pod influencerów i twórców LGBTQ+, zwłaszcza tych aktywnych na niszowych serwisach.

Pierwsze logi ruchu pokazały komunikację z serwerami ukrytymi za kilkoma warstwami proxy TOR oraz tunelami I2P. Kod malware’u zdradza podobieństwa do wcześniejszej kampanii **„DarkHand Curtain”**.


Jak wygląda wektor ataku?

Atak ma charakter hybrydowy:
  • phishing z wykorzystaniem fałszywych paneli logowania,
  • automatyczne zgłaszanie kont w celu wymuszenia resetu hasła,
  • wykorzystywanie starych, odświeżonych baz z darknets,
  • skrypty przejmujące tokeny sesyjne po uzyskaniu ciasteczek użytkownika.


Zastosowanie dwóch jednoczesnych kanałów ataku (socjotechnika + dane z szarej sieci) powoduje, że wiele osób nie orientuje się, w którym momencie doszło do przejęcia.


Rekomendacje dla użytkowników

  • Natychmiastowa zmiana haseł na unikatowe i dłuższe niż 16 znaków.
  • Włączenie pełnego 2FA — nie SMS, tylko TOTP lub klucz sprzętowy.
  • Sprawdzenie ostatnich logowań na wszystkich platformach.
  • Usunięcie powiązanych aplikacji trzecich.
  • Zgłoszenie naruszenia administratorowi platformy.


Jeśli jesteś twórcą lub osobą aktywną społecznie, szczególnie w przestrzeniach LGBTQ+, ryzyko celowanych ataków jest wyższe — warto więc mieć plan reakcji kryzysowej oraz stały monitoring aktywności kont.


Stan na teraz – komentarz analityka

Trzeba to powiedzieć wprost: to nie jest pojedynczy incydent, tylko początek kolejnej dużej kampanii. Szara sieć już dyskutuje o „part II”, więc możliwe, że w najbliższych dniach zobaczymy kolejne zestawy danych.

Warto śledzić komunikaty bezpieczeństwa, zwłaszcza te publikowane przez aktywnych użytkowników Forum, bo to właśnie tam informacje pojawiają się najszybciej.


[hr]


Dane techniczne:
  • Format pliku z wycieku: .txt + .json
  • Liczba rekordów: ~3,4 mln
  • Hashowanie: SHA-256 bez soli
  • Wektor ataku: phishing + token hijack
  • Prawdopodobne pochodzenie: sieci TOR/I2P


Licencja / Źródła analizy: Materiał opracowany na podstawie logów udostępnianych publicznie w obszarze greyweb. Analiza autorska, licencja informacyjna – open circulation.


[hr]

Słowa kluczowe:
atak hakerski,
szara sieć,
token hijack,
phishing,
bezpieczeństwo sieciowe,
LGBTQ+,
darknet,
wyciek danych,
2FA


Tagi:
cyberatak,
greyweb,
I2P,
TOR,
społeczności LGBTQ+,
bezpieczeństwo,
konta społecznościowe,
phishing alert,
wyciek


[hr]

Pytania do społeczności:

1. Czy któreś platformy LGBTQ+ ostrzegły Was przed kampanią wcześniej?
2. Jak często zmieniacie hasła i czy stosujecie menedżer haseł?
3. Czy Wasze konta na Forum miały ostatnio podejrzane logowania?
4. Jak oceniacie reakcję twórców LGBTQ+ na cyberzagrożenia?
5. Czy zauważyliście wzrost phishingu w ostatnich tygodniach?
6. Czy Waszym zdaniem szara sieć jest teraz bardziej aktywna niż rok temu?
7. Czy macie swoje strategie na szybkie zabezpieczenie kont po ataku?
8. Jakie funkcje bezpieczeństwa powinna wprowadzić każda platforma społecznościowa?
9. Czy uważacie, że społeczności LGBTQ+ są bardziej narażone na ataki?
10. Czy chcecie, abym wrzucał regularne raporty z szarej sieci?