다크웹 상에서 페이스북과 야후 비밀번호 2,500만 건 이상을 포함한 100GB 넘는 데이터가 거래되고 있다고 한다. 보도에 따르면 이번에 다크웹 사이트에서 발견된 데이터는 319개 파일 104GB에 이른다고 한다. 데이터 중에는 이메일 주소 7,084만 771건, 2,500만 건 이상 암호가 포함되어 있으며 개인 정보 유출 여부를 확인할 수 있는 서비스(Have I Been Pwned?) 등록 사용자 42만 7,308명이 피해를 입은 일이 밝혀졌다. 이 사이트에서 지금까지 개인 정보 유출이 확인되지 않았던 이메일 주소가 35% 포함되어 있기 때문에 이전에 유출된 데이터 사용 횟수가 아닌 게 밝혀지고 있다.
유출된 개인 정보 일부를 확인해보면 페이스북과 로블록스, 코인베이스, 야후 등 로그인 정보가 유출되고 있다고 한다. 이런 개인 정보는 피해자 기기에 침입한 로그인 페이지에 입력된 모든 사용자명과 비밀번호를 올리는 멀웨어에 의해 유출된 것으로 알려져 있으며 거래되는 비밀번호는 암호화되지 않은 평문으로 표시되어 있다고 한다. 또 유출, 공개된 암호 대부분이 사전 공격 표적이 되기 쉬운 패턴이었다고 한다.
더구나 여러 서비스에서 같은 비밀번호를 사용하는 경우나 전혀 다른 사람이 같은 비밀번호를 사용하고 있는 경우 등으로 유출 위험성이 높아진다고 한다. 구체적인 예로 기르던 개 이름이나 태어난 해는 인간에 비해 변형이 적기 때문에 표적이 되기 쉬워진다는 것.
이 다크웹 사이트에 따르면 개인 정보 취득에는 한때 다른 사이트에서 배포된 Naz.API라는 대규모 데이터세트가 이용되고 있다고 한다. 또 거래되고 있는 인증 정보 대부분은 과거 유출된 계정 인증 정보를 대량 수집하는 계정 하이재킹 공격 일종인 크리덴셜 스터핑(Credential Stuffing)이라고 주장하고 있다.
보도에선 계정을 적절하게 보고하기 위해 무작위로 생성된 비밀번호 사용, 피싱 사이트에 비밀번호를 입력하지 않는 것, 비밀번호가 없는 로그인 표준인 패스키 사용 등을 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.