Rysk liga har stulit över en miljard lösenord och användarnamn
Ryska hackare med sin bas i södra Ryssland har stulit 1,2 miljarder namn och lösenord från 420 000 hemsidor och webbplatser, enligt rapporter på tisdagen. (Foto: Denis Charlet/AFP/Getty Images)


En rysk liga med unga hackare har samlat ihop den största kända mängden av stulna internetuppgifter, däribland 1,2 miljarder användarnamn och lösenord och mer än 500 miljoner e-postadresser, rapporterades på tisdagen av en säkerhetsforskare, enligt rapporter i media.

New York Times skrev på tisdagen om stölden efter att ha fått uppgifter om saken från Hold Security, ett företag i Milwaukee, USA, som tidigare har avslöjat säkerhetsöverträdelser på webben.

Registren, som upptäcktes av Hold Security, innehåller konfidentiellt material som samlats in från 420 000 webbplatser, inkluderat välkända namn och små webbplatser.

Hold Security kunde inte namnge offren, enligt New York Times. Företaget hänvisade till sekretessavtal och en ovilja att namnge företag vars webbplatser fortfarande är sårbara.

På begäran av The New York Times, har en säkerhetsexpert som inte har någon koppling till Hold Security analyserat databasen över de stulna uppgifterna och bekräftat att det var äkta.

"Hackers hade inte bara riktat sig på amerikanska företag. De riktade in sig på alla webbsidor som kunde komma åt, allt från Fortune 500-företag till mycket små webbplatser", sade Alex Holden, grundare och chef för Informationsavdelningen och säkerhetsansvarig på Hold Security. "Och de flesta av dessa webbplatser är fortfarande sårbara”, skriver New York Times.

Ligan har sin bas i en liten stad i södra, centrala Ryssland, där regionen gränsar till Kazakstan och Mongoliet. I gruppen ingår färre än ett dussin män i 20-årsåldern som känner varandra personligen. Deras datorservrar tros vara i Ryssland.

Webbplatser i Ryssland hade också blivit hackade, och enligt Holden finns inte något samband mellan hackarna och den ryska regeringen, skriver New York Times.

Hittills har de kriminella inte sålt så många av registren på nätet. Istället verkar de använda den stulna informationen för att skicka skräppost på sociala nätverk som Twitter på uppdrag av andra grupper, och samlat in avgifter för sitt arbete.

Kreditkort kan lätt annulleras, men personliga uppgifter som en e-postadress, ett personnummer eller ett lösenord kan användas för identitetsstöld.

Eftersom människor tenderar att använda samma lösenord för olika webbplatser, kan brottslingar testa de stulna inloggningsuppgifterna på webbplatser där det finns viktig information, och snappa åt sig information från till exempel bankers och mäklarfirmors hemsidor.

"De företag som är beroende av användarnamn och lösenord måste utveckla en känsla av brådska i att ändra detta", sade Avivah Litan, en säkerhetanalytiker på Gartner, till New York Times på tisdagen.

"Tills de gör det, kommer brottslingar att fortsätta lagra människors internetuppgifter."