24 miliardy rekordów z hasłami: co powinien zrobić właściciel strony i hostingu?

Když výzkumníci Cybernews v polovině června 2026 narazili na nezabezpečený Elasticsearch cluster s 24 miliardami záznamů o velikosti 8,3 TB, nešlo o jeden hacknutý web. Šlo o sklad ukradených přihlašovacích údajů sesbíraných z desítek zdrojů. Pro majitele webu a hostingu z toho plyne jediný praktický závěr: vaše hesla pravděpodobně někde leží už dnes, jen o tom nevíte. Tento článek neřeší, zda jste „v úniku" — řeší, co s tím má majitel webu udělat bez ohledu na konkrétní seznam.

Co se vlastně stalo: sklad, ne nový průnik

Klíčové je pochopit povahu dat. Podle Cybernews byla většina z 24 miliard záznamů logy infostealerů — tedy malwaru, který z nakažených počítačů odsává hesla uložená v prohlížečích, aktivní session cookies a tokeny (včetně těch, které obcházejí dvoufaktorové ověření), data z autofillu a otisky zařízení. Dataset pocházel z 36 zdrojů: kriminálních Telegram kanálů (přes 1,7 miliardy záznamů), starších breach kompilací a kolekcí infostealer logů. Cluster byl podle výzkumníků po objevení rychle stažen z internetu, takže nelze potvrdit počet skutečně zasažených osob ani míru duplicit.

Pro vás to znamená posun v myšlení. Tohle není „unikl web X, změňte si tam heslo". Infostealer bere všechno najednou z jednoho zařízení — a pokud se nakazil počítač, ze kterého spravujete hosting, jsou v logu i přihlašovací údaje do hostingového panelu, FTP, e-mailu a CMS. Žádný únik na straně providera se přitom nemusel stát.

Priorita číslo jedna: e-mailová schránka

Než sáhnete na hosting, začněte u e-mailu. E-mailová adresa je centrální bod obnovy hesel prakticky pro každý další účet — doménový registrátor, hosting, fakturační nástroje, cloud storage. Kdo ovládne vaši schránku, projde přes funkci „zapomenuté heslo" do všeho ostatního. Proto by e-mailový účet měl mít unikátní, dlouhé heslo a zapnutou dvoufázovou autentizaci přednostně před vším ostatním.

Pokud řešíte e-mail na vlastní doméně, věnujte pozornost i tomu, kdo k němu má přístup a jak je schránka technicky postavená — od autentizace po doručitelnost.

E-mail hosting vysvětleno

Hostingový panel a CMS admin

Druhá vrstva je správa webu samotného. Projděte v tomto pořadí:

• Hostingový administrační panel (cPanel, Plesk, DirectAdmin nebo vlastní panel). Změňte heslo, zapněte 2FA, pokud ji panel nabízí, a zkontrolujte historii přihlášení, je-li dostupná.
• CMS admin — typicky WordPress. Nejčastější vstupní brána pro útočníky není exploit pluginu, ale opakovaně použité nebo uniklé heslo administrátora. Změňte hesla všem účtům s rolí administrátora a smažte staré, nepoužívané účty.
• Databázové přístupy a aplikační hesla, pokud je máte uložená v prohlížeči (infostealer je odtud bere jako první).

Zabezpečení hostingového účtu má vlastní logiku a kroky, které stojí za samostatné projití.

Jak zabezpečit hostingový účet

FTP, SFTP a klíče: tichá zadní vrátka

FTP přihlašovací údaje se často ukládají v FTP klientech (FileZilla a spol.) v čitelné podobě v konfiguračním souboru — a infostealery je cíleně vyhledávají. Tři pravidla:

1. Nepoužívejte prostý FTP, jen SFTP/FTPS. Klasický FTP posílá heslo nešifrovaně.
2. Nedávejte FTP klientovi „zapamatovat heslo", pokud to není nutné, a u kritických přístupů přejděte na SSH klíče místo hesel.
3. Po incidentu rotujte FTP/SFTP hesla i SSH klíče stejně jako hesla do panelu.

Doménový registrátor: účet, na kterém stojí celá identita webu

Na účet u registrátora se snadno zapomene, protože se do něj přihlašujete jen párkrát do roka. Přitom kdo ovládne registrátorský účet, může přesměrovat DNS, převést doménu nebo zachytit e-maily. Zapněte 2FA, zkontrolujte kontaktní e-mail (musí to být zabezpečená schránka) a pokud registrátor nabízí domain lock proti neautorizovanému transferu, zapněte ho.

Zálohy: pojistka, kterou si ověřte teď, ne až po průniku

I dokonalá rotace hesel selže, pokud vám útočník stihne web poškodit. Aktuální, otestovaná offsite záloha je rozdíl mezi hodinou práce a týdnem paniky. Klíčové slovo je „otestovaná" — záloha, kterou jste nikdy nezkusili obnovit, je jen domněnka.

Jak nastavit zálohy webu

Časté dotazy

Jak zjistím, jestli jsou moje hesla v úniku?

Spolehlivě to potvrdit nelze, protože dataset byl rychle stažen a obsahoval duplicity. Místo hledání konkrétního seznamu vycházejte z předpokladu, že jakékoli opakovaně používané heslo už kompromitované být může, a podle toho jednejte.

Stačí změnit jen hlavní hesla?

Ne, pokud používáte stejné nebo podobné heslo na více službách. Infostealer i útočníci sázejí přesně na credential stuffing — vyzkoušení uniklé kombinace na desítkách dalších služeb. Měňte na unikátní hesla.

Ochrání mě dvoufázové ověření, když heslo uniklo?

Z velké části ano — MFA může účet ochránit, i když heslo zná útočník. Pozor ale na to, že některé infostealery kradou i session tokeny, které MFA dočasně obcházejí; proto po incidentu odhlaste všechna zařízení a vynuťte nové přihlášení.

Co když se infostealer dostal přímo na můj počítač?

Pak je třeba zařízení nejdřív vyčistit (antivirová kontrola, případně reinstalace) a teprve potom měnit hesla — jinak nové údaje rovnou odteče stejnou cestou.

Závěr

Únik 24 miliard záznamů není událost, na kterou se „čeká, jestli se vás týká". Je to připomínka, že ukradené přihlašovací údaje jsou dnes komoditou skladovanou ve velkém. Majitel webu má v ruce konkrétní, zvládnutelný seznam: e-mail → hostingový panel → CMS → FTP/SFTP → registrátor → ověřené zálohy. Projděte ho jednou pořádně a zaveďte unikátní hesla s 2FA — a další podobná zpráva už pro vás nebude důvod k panice.

Zdroje a další čtení