Wyciek 16 miliardów haseł: co tak naprawdę się wydarzyło? W czerwcu 2025 roku badacze ds. cyberbezpieczeństwa z Cybernews ujawnili jeden z największych wycieków danych uwierzytelniających w historii: ponad 16 miliardów danych logowania rozłożonych na około 30 ogromnych zestawach danych było dostępnych za darmo w internecie. To nie był pojedynczy incydent, lecz efekt wieloletniego działania malware typu infostealer, które cicho infekowało urządzenia i wykradało wszystko — od haseł i ciasteczek po tokeny sesji i historię logowań na stronach. Wiele tych danych jest nadal ważnych, wpływając na główne platformy takie jak Google, Apple, Facebook, Telegram, GitHub, a także różne systemy rządowe. Niektóre z zestawów zawierały nawet do 3, 5 miliarda rekordów, a przez pewien czas większość z nich była dostępna na publicznych serwerach bez konieczności posiadania specjalistycznej wiedzy hakerskiej. Tylko w 2024 roku malware tego typu ukradło 2, 1 miliarda danych logowania, co stanowi niemal dwie trzecie wszystkich tego typu wykradzionych danych, co podkreśla rosnące zagrożenie. Dlaczego wyciek 16 miliardów haseł ujawnia ograniczenia tradycyjnych systemów logowania Ten incydent pokazuje podstawowe luki w szeroko stosowanych tradycyjnych systemach tożsamości. Powtarzanie tych samych haseł jest powszechne, więc gdy jedno konto zostanie naruszone, atakujący mogą uzyskać dostęp do innych usług poprzez tzw. credential stuffing. Obecność tokenów sesji — cyfrowych kluczy do uwierzytelnionych kont — pogłębia problem. Dostępność narzędzi typu malware-as-a-service pozwala atakującym kupować wykradzione dane i automatyzować przejęcia kont bez bezpośredniego atakowania ofiar. Te czynniki tworzą idealne warunki do kradzieży tożsamości, oszustw finansowych i naruszeń prywatności, co wskazuje, że samo dwuskładnikowe uwierzytelnianie (2FA) i menedżery haseł to za mało. Dlatego coraz częściej zwraca się uwagę na rozwiązania bazujące na fundamentach, takie jak systemy cyfrowej tożsamości oparte na blockchainie, które nie polegają na hasłach. Potrzeba uwierzytelniania bezhasłowego i blockchain Po tak dużych wyciekach pojawia się powrót do znanych porad: używaj silnych, unikalnych haseł; korzystaj z menedżerów haseł typu 1Password czy Bitwarden; włącz 2FA; przejdź na passkeys korzystające z biometriki; monitoruj wycieki za pomocą narzędzi do skanowania dark webu. Chociaż są one wartościowe, to jednak są to rozwiązania łatające system, który sam w sobie nie ma wbudowanej odporności. Użytkownicy pozostają narażeni na phishing, malware oraz podatne aplikacje.

W miarę powiększania się skali i zaawansowania ataków eksperci coraz częściej opowiadają się za zarządzaniem tożsamością w Web3, które ma zapewnić trwałe poprawy w zakresie bezpieczeństwa. Umożliwiając uwierzytelnianie bezhasłowe przy użyciu blockchaina, model cyberbezpieczeństwa może przejść od reaktywnych obron do proaktywnych, infrastrukturalnych zabezpieczeń — dosłownie zastępując popsuty system. Co ciekawe, systemy haseł komputerowych sięgają czasów MIT i ich systemu Compatible Time-Sharing System z lat 60. XX wieku, gdzie już wtedy zidentyfikowano pierwsze obawy o bezpieczeństwo, co dowodzi, że podatności haseł nie są nowością. Czy cyfrowa tożsamość oparta na blockchainie może być rozwiązaniem? Biorąc pod uwagę wyciek bilionów haseł, istotne pytanie brzmi, dlaczego dalej polegamy na hasłach. Wielu deweloperów, instytucji i orędowników prywatności postrzega cyfrową tożsamość opartą na blockchainie jako konieczne i oczekiwane rozwiązanie. Czym rozwiązuje cyfrowa tożsamość oparta na blockchainie Decentralne systemy tożsamości oparte na blockchainie odwracają tradycyjny model, przywracając użytkownikom własność i kontrolę nad cyfrową tożsamością poprzez tzw. self-sovereign identity (SSI). Zamiast centralnych baz danych, które narażone są na masowe wycieki, blockchain wykorzystuje zdecentralizowane identyfikatory (DIDs) — unikalne prywatne klucze przechowywane w blockchainie, należące wyłącznie do użytkownika — bez centralnego magazynu do ataku. Kluczowe zalety to: - Brak pojedynczego punktu awarii: w przeciwieństwie do centralnych systemów przechowujących miliony danych uwierzytelniających, identyfikatory na blockchainie nie mają centralnego serwera, który można zaatakować. - Minimalne ujawnianie danych: korzystając z Verifiable Credentials (zweryfikowanych poświadczeń), użytkownicy mogą potwierdzać posiadanie określonych cech (np. wiek czy poziom wykształcenia), nie ujawniając pełnych dokumentów tożsamości. Zaawansowane Zero-Knowledge Proofs (dowody zerowej wiedzy) pozwalają z kolei potwierdzić dane (np. „mam ponad 18 lat”) bez ujawniania samego danych. - Odporność na manipulację i możliwość audytu: wydana użytkownikowi cyfrowa wersja poświadczenia jest kryptograficznie podpisana i opatrzona znacznikiem czasowym, co niemal uniemożliwia podrobienie lub niepożądaną zmianę. Taki paradygmat — tożsamość self-sovereign — zasadniczo zastępuje dzisiejszą wrażliwą infrastrukturę tożsamościową. Kto prowadzi pilotażowe projekty systemów tożsamości opartych na blockchainie? Chociaż to rozwiązanie wciąż się rozwija, prace nad zarządzaniem tożsamością w Web3 postępują wyraźnie. Unia Europejska wdraża eIDAS 2. 0 i European Blockchain Services Infrastructure (EBSI), które mają wydać niepodważalne dyplomy cyfrowe i poświadczenia między państwami członkowskimi. Niemcy i Korea Południowa testują cyfrową tożsamość opartą na blockchainie, która może zastąpić krajowe dowody osobiste. Tymczasem startupy takie jak Dock Labs, Polygon ID czy TrustCloud tworzą platformy pozwalające użytkownikom tworzyć, zarządzać i wybiórczo udostępniać poświadczenia do celów rządowych, bankowych, edukacyjnych i innych. Podsumowując, wyciek 16 miliardów haseł ujawnia poważne niedoskonałości tradycyjnych systemów logowania i podkreśla potrzebę innowacyjnych, opartych na blockchainie rozwiązań cyfrowej tożsamości, które zapewniają silniejsze bezpieczeństwo, prywatność i kontrolę użytkownika.