Passordtyveriet er det største noensinne, skriver The New York Times.
Det var det amerikanske sikkerhetsselskapet Hold Security som avdekket det omfattende materialet og som i dag kunngjorde det i forbindelse med sikkerhetskonferansen Black Hat i Las Vegas.
Selskapet ønsker ikke å si hvilke nettsteder som er rammet, men grunnleggeren av selskapet sier til avisen at det både er store og mindre selskaper.
– De har angrepet alle sider de har klart å få tilgang til. Og de fleste av disse nettstedene er fremdeles sårbare, sier Alex Holden.
– Så lenge dataene dine befinner seg et sted på nettet, kan du ha blitt berørt.
En uavhengig sikkerhetsekspert som har analysert listene for avisen, sier flere store selskaper er oppmerksomme på at de er rammet av innbruddene.
Begynte som amatørspammere
Den kriminelle gjengen går under navnet «CyberVor». «Vor» er det russiske ordet for «tyv».
Ifølge The New York Times består gruppen av i underkant ti menn i 20-årene og man tror at de har tilholdssted i Russland.
Gruppen ble dannet i 2011 og i begynnelsen drev gjengen med spamming på amatørnivå og kjøpte seg databaser med personlig informasjon på det svarte markedet, opplyser Hold Security. Men i april i år skal gruppen ha økt aktiviteten og startet de målrettede angrepene for å tilegne seg informasjonen.
Ved hjelp av et såkalt botnett (infiserte datamaskiner som kan kontrolleres av hackere) trålet gruppen nettet for å finne nettsider med sikkerhetssvakheter som de kunne utnytte.
Lukrativ inntekt
Så langt har ikke gruppen gjort noe større framstøt for å selge den omfattende basen med e-postadresser, brukernavn og passord.
Men sikkerhetsekspertene har registrert at de i stedet har brukt informasjonen til å logge seg på sosiale medier og spamme reklame for det de har fått til.
På sikt kan denne informasjonen bli en lukrativ inntekt for gruppen.
Mens kredittkortinformasjon har begrenset verdi fordi kortene blir sperret når eierne oppdager misbruket. Men e-postadresser, personnumre og annen informasjon er enklere å bruke til identitetstyveri.
Siden folk ofte bruker den samme innloggingsinformasjonen på flere nettsteder, kan hackerne skaffe seg omfattende informasjon om ofrene.
Flere angrep
Tidligere i år ble det avdekket at en rekke nettsteder verden over hadde vært rammet av sikkerhetsfeilen «Heartbleed» i hele to år, noe som førte til at datakyndige med onde hensikter kunne tilegne seg personlig informasjon fra brukerne.
Norske myndigheter gikk den gang ut og oppfordret brukere til å endre passordene sine.
I mai ble nettauksjonen eBay utsatt for et hackerangrep som førte til at angriperne fikk tilgang til brukerinformasjonen til selskapets 233 millioner kunder.
I februar avslørte Hold Security at 360 millioner e-postadresser og passord var til salgs på svartebørsen.
