Na internet uniklo najednou 124 milionů hesel a 56 milionů e-mailů. Stačí kliknutí a váš účet je prázdný
Databáze Have I Been Pwned přidala 15. června 2026 obří balík ukradených přihlašovacích údajů: 56 milionů e-mailů a 124 milionů hesel z infikovaných počítačů.
Obsah článku
Incident nese označení „June 2026 Stealer Logs“ a nejde o klasický průnik do jedné firmy. Je to kompilace záznamů z takzvaných infostealerů, škodlivých programů, které na napadených zařízeních stahují údaje přímo z prohlížečů, e-mailových klientů a dalších aplikací. Každý řádek takového logu obsahuje konkrétní adresu webu, e-mail a i heslo. Útočník, který k takovému souboru získá přístup, nepotřebuje už nic prolamovat. Stačí mu vzít hotovou dvojici e-mail a heslo a automatizovaně ji vyzkoušet na desítkách dalších služeb. Pokud člověk používá stejné heslo na více místech (a statistiky ukazují, že to dělá většina uživatelů), jediný ukradený údaj může otevřít cestu k e-mailu, sociálním sítím i bankovnímu účtu.
Je to nebezpečnější než klasický únik
Klasický únik dat znamená, že někdo pronikne do databáze konkrétní služby, třeba e-shopu nebo sociální sítě. Získává zákaznická data jedné firmy. Stealer logy fungují jinak. Malware sedí přímo na počítači oběti a zaznamenává údaje, které uživatel zadává nebo které má uložené v aplikacích. Výsledkem je seznam přihlašovacích údajů napříč desítkami webů, které dotyčný navštívil.
Právě proto je 56 milionů e-mailů v tomto incidentu tak znepokojivých. Nejde o 56 milionů zákazníků jednoho obchodu. Jde o 56 milionů unikátních adres, z nichž každá může být spárovaná s dalšími službami najednou. A 124 milionů hesel přidaných do databáze Pwned Passwords ukazuje, kolik unikátních přihlašovacích údajů útočníci nasbírali.
Pro kontext: v evidenci Have I Been Pwned existují i větší kompilace, například Synthient Stealer Log Threat Data se 183 miliony účtů nebo Combolists Posted to Telegram s 361 miliony účtů. Červnový incident je tedy velký, ale ne rekordní. To ovšem neznamená, že je méně nebezpečný. Každá nová vlna logů přidává čerstvé údaje k těm starým a rozšiřuje arzenál pro automatizované útoky.
S pomocí ukradeného hesla zmizí peníze z účtu
Technika se jmenuje credential stuffing a organizace OWASP ji definuje jako masové automatizované pokusy o přihlášení pomocí ukradených dvojic e-mail/heslo. Žádné sofistikované hackování, žádné luštění šifer. Útočník vezme miliony záznamů ze stealer logů a skript je během krátké chvíle vyzkouší na bankách, platebních bránách, e-shopech i e-mailových službách.
Kritický moment nastává ve chvíli, kdy útočník získá přístup k primárnímu e-mailu. Odtud už je cesta krátká: přes funkci „zapomenuté heslo“ si resetuje přihlášení k dalším účtům, oběť zamkne ven a peníze převede na vlastní účet. FBI ve svých upozorněních k podvodům s převzetím účtu popisuje přesně tento scénář: převzetí účtu, převod prostředků a zablokování původního majitele.
Celý ekosystém navíc funguje jako služba. Bezpečnostní firma KELA upozorňuje na výrazný nárůst infekcí infostealery v posledních letech a na to, že většina známých rodin tohoto malwaru je dostupná formou takzvaného malware jako služba. Bariéra vstupu pro útočníky je dnes výrazně nižší než kdykoli dřív. Stačí zaplatit poplatek, získat hotový nástroj a sbírat data.
Jak zjistit, jestli jsou vaše údaje v nebezpečí
Have I Been Pwned není zdroj útoku, ale kontrolní nástroj, který provozuje bezpečnostní expert Troy Hunt. Služba veřejně nepáruje e-mail s heslem, takže nikdo si tam nemůže jednoduše vyhledat cizí údaje. E-maily a hesla se ověřují odděleně.
Postup pro ověření:
- E-mail: Zadejte adresu na hlavní stránku haveibeenpwned.com. Uvidíte, ve kterých incidentech se objevila. Pro detailnější pohled na stealer logy je potřeba přihlásit se do dashboardu a ověřit adresu přes odkaz zaslaný e-mailem. Přihlášení nevytváří běžný uživatelský účet a HIBP si data o vás neukládá.
- Heslo: Na stránce Pwned Passwords zadejte heslo, které chcete prověřit. Kontrola běží přes takzvanou k-anonymitu; služba nikdy nevidí celé heslo ani jeho kompletní hash.
Důležité: pokud HIBP vaši adresu nenajde, neznamená to stoprocentní jistotu. Databáze pokrývá obrovské množství úniků, ale ne všechny.
Co udělat hned a co změnit do budoucna
Pokud se vaše adresa nebo heslo objeví, priorita je jasná. Okamžitě změňte dotčené heslo na každé službě, kde jste ho používali. Začněte tím nejcitlivějším:
- Primární e-mail
- Internetové bankovnictví a platební aplikace
- Cloudová úložiště
- Sociální sítě
- Firemní účty
Na všechny tyto služby odhlaste aktivní relace a zapněte dvoufaktorové ověření. Zkontrolujte, zda vám někdo nezměnil záložní e-mail nebo telefonní číslo pro obnovu hesla. U finančních účtů kontaktujte banku, i preventivně.
Do budoucna existuje několik zásad, které riziko dramaticky snižují. Používejte správce hesel a pro každou službu unikátní heslo. Kde to jde, přejděte na passkeys, kryptografický údaj svázaný s konkrétním účtem, který nelze recyklovat ani ukrást phishingem. A pozor na pirátský software: FBI opakovaně varuje, že nelegální programy bývají často nosičem malwaru, který krade údaje přímo při používání zařízení.
Stealer logy nezmizí. Kolují po kriminálních kanálech, prodávají se za drobné a každý den přibývají nové. Jediná skutečně účinná obrana je nedat útočníkovi klíč, který pasuje do více zámků najednou.