Firmaet Hold Security har brukt tre uker på å kartlegge informasjonen som har kommet på avveie.
Hittil har de funnet 360 millioner kombinasjoner av epostadresser og passord, og 1,25 milliarder separate epostadresser. Detaljene selges på Internett, og flere av dem skal allerede ha blitt misbrukt.
– Omfanget er overveldende. Våre ansatte jobber døgnet rundt med å identifisere ofrene, sier sikkerhetssjef Alex Holden til nyhetsbyrået Reuters.
Firmaet har funnet epostadresser fra alle de største leverandørene, men vet fortsatt ikke hvem som er rammet eller hva detaljene er brukt til.
Holden opplyser imidlertid at de har funnet epostadresser fra nesten alle firmaene på den amerikanske Fortune 500-lista, samt en rekke organisasjoner.
Bedrifter som er rammet kan være fullstendig uvitende om sikkerhetssvikten.
Les også:
Les også:
– En gullgruve for cyberkriminelle
Holden mener informasjonen kan utgjøre en større risiko for rammede brukere og bedrifter enn stjålet kredittkortinformasjon, ettersom en kombinasjon av brukernavn og passord i tillegg kan åpne nettbanker, interne nettverk og annen sensitiv informasjon som krever innlogging.
Sikkerhetsekspert Graham Cluley sier til BBC at databasen er en hackers drøm.
– Dette er i Godzilla-størrelse. Dette er et monster. Selv om noen detaljer kan ha dukket opp to ganger, høres det ut som en komplett gullgruve for cyberkriminelle, sier han.
Informasjonen er trolig samlet inn gjennom flere angrep. Det største kan ha sanket inn hele 105 millioner kombinasjoner, noe som ifølge Reuters vil være det største, kjente angrepet i sitt slag hittil.
– Det som vanligvis kommer ut er ikke bare spam- og phishing-angrep, men også at kombinasjonen av epostadresse og passord kan brukes flere steder, fordi folk bruker det samme på flere nettsider, sier Cluley.
Hold Security var også med på å avdekke datainnbruddet mot Adobe i fjor, der 130 millioner brukerkontoer ble hacket.
Les også:
Les også:
