Перейти к основному контенту
LiMP VPN
Все новости

Взлом почты KDDI: утечка 14 млн логинов

Взлом почты KDDI: утечка 14 млн логинов

Коротко: 23 июня 2026 года японский телеком-гигант KDDI сообщил о взломе общей почтовой платформы, которую он обслуживает сразу для шести интернет-провайдеров. Под угрозой оказались данные до 14,22 млн учётных записей — адреса почты и пароли. Атакующие использовали уязвимость в стороннем ПО внутри инфраструктуры. Если вы пользуетесь почтой этих провайдеров — смените пароль и включите двухфакторную аутентификацию.

Что произошло

17 июня 2026 года KDDI обнаружила несанкционированный доступ к почтовой системе, заблокировала атакующего и приняла технические меры. 23 июня компания публично раскрыла инцидент: злоумышленник проэксплуатировал уязвимость в стороннем ПО, встроенном в общую почтовую платформу, и мог получить доступ к данным до 14,22 миллиона учётных записей. В это число входят действующие, бывшие и неактивные аккаунты.

Особенность инцидента в том, что одна платформа обслуживает сразу шесть провайдеров: STNet, KDDI Web Communications, JCOM, Chubu Telecommunications, NIFTY и BIGLOBE. То есть один взлом накрыл клиентов сразу нескольких, казалось бы, независимых компаний. О том, как устроена сетевая приватность, мы пишем в блоге.

Почему это опаснее взлома одного сервиса

Скомпрометированы адреса электронной почты и пароли. По данным KDDI, часть паролей хранилась в хешированном или зашифрованном виде, но компания не уточнила, какой процент лежал в открытом виде и какой алгоритм использовался. Пока эта неопределённость не снята, разумно исходить из худшего сценария и считать пароль потенциально раскрытым.

Главная проблема — не сам факт утечки, а повторное использование паролей. Если один и тот же пароль стоит на почте, в маркетплейсе и в соцсети, злоумышленнику достаточно автоматически подставить пару «почта + пароль» в сотни сервисов. Этот приём называют credential stuffing, и именно он превращает одну утечку в цепочку взломанных аккаунтов. Похожую механику мы разбирали в материале про утечку миллиардов паролей.

Чем это грозит вам и вашим данным

Даже если ваш пароль был зашифрован, утёкший адрес почты сам по себе ценен для атакующих. Зная, что вы клиент конкретного провайдера, мошенники рассылают целевой фишинг «от имени» этого оператора: письма о «блокировке ящика», «подтверждении оплаты» или «обновлении пароля» со ссылкой на поддельную страницу входа. Чем точнее письмо попадает в контекст, тем выше шанс, что человек введёт настоящий пароль сам.

Почтовый ящик к тому же — ключ ко всему остальному: через «восстановление пароля» на почту приходят ссылки для сброса доступа к банковским, рабочим и облачным аккаунтам. Поэтому компрометация именно почты опаснее, чем утечка пароля от случайного форума.

Как понять, затронуло ли это меня?

Если вы пользуетесь почтой одного из шести провайдеров (STNet, KDDI Web Communications, JCOM, Chubu Telecommunications, NIFTY или BIGLOBE) — считайте, что вас могло затронуть, и действуйте на опережение. Дополнительно проверьте свой адрес на сервисе Have I Been Pwned: он показывает, в каких известных утечках засветилась почта. Отсутствие в базе не гарантирует безопасность, но её наличие — однозначный сигнал срочно менять пароли.

Как защитить свои аккаунты

Смените пароль от почты в первую очередь. Это тот аккаунт, через который восстанавливают все остальные. Затем обновите пароли там, где он мог повторяться.

Уникальный пароль на каждый сервис. Менеджер паролей создаёт и хранит длинные случайные пароли, чтобы утечка одного сервиса не тянула за собой остальные.

Двухфакторная аутентификация. Лучше через приложение-аутентификатор или аппаратный ключ, чем по SMS. Даже зная пароль, без второго фактора войти не получится.

Не доверяйте письмам «от провайдера». После таких утечек растёт волна фишинга. Не переходите по ссылкам из писем о «блокировке» — заходите в аккаунт вручную, набрав адрес сайта.

Закройте сетевую половину. VPN — например, LiMP VPN — шифрует ваш трафик в недоверенных сетях, чтобы логины и пароли нельзя было перехватить по пути, и скрывает реальный IP от сайтов и провайдера. Будем честны: VPN не поменяет утёкший пароль за вас и не защитит базу данных на стороне сервиса — но он закрывает сетевую часть приватности. Как это устроено у нас — на странице возможностей.

Источники

Материал основан на публикациях BleepingComputer, Security Affairs и SC Media за июнь–июль 2026 года.

Взлом почты KDDI: утечка 14 млн логинов | LiMP VPN