FortiBleed: утечка раскрыла учётные данные Fortinet VPN для 73 тысяч устройств

Новая утечка, получившая название FortiBleed, раскрыла данные, похожие на учётные записи Fortinet и FortiGate VPN для 73 932 firewall URL организаций по всему миру. По данным BleepingComputer, сервер с открытым набором обнаружил исследователь Боб Дьяченко. В материалах, которые он описал, содержались имена пользователей, email-адреса и пароли в открытом виде.

Судя по опубликованным исследователем скриншотам и описанию, в базе фигурировали крупные организации и бренды, включая Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec и State Grid. В записях также были комментарии об отрасли, выручке и количестве сотрудников компаний — такие сведения могут использоваться для приоритизации атак и выбора более ценных целей.

Дьяченко заявил, что за операцией могла стоять русскоязычная многооператорная группа, собиравшая учётные данные для FortiGate SSL VPN. По его словам, дополнительные файлы на том же сервере указывали на примерно 1,16 млрд попыток подбора против 320 777 FortiGate-целей и ещё 2,1 млрд попыток против 163 650 Microsoft SQL Server. Исследователь также утверждает, что злоумышленники перехватывали SSL VPN authentication hashes, взламывали их на 45-GPU кластере с Hashtopolis и затем использовали восстановленные пароли для перемещения во внутренние Active Directory-среды.

Часть утверждений требует проверки пострадавшими организациями, но сам набор уже выглядит опасным: даже старые или частично недействительные VPN-логины становятся исходной точкой для credential stuffing, фишинга, атак на смежные сервисы и поиска повторно используемых паролей. Hudson Rock, получившая датасет от Дьяченко, описала коллекцию как один из крупнейших известных наборов скомпрометированных данных, связанных с Fortinet.

Для администраторов Fortinet/FortiGate первоочередные меры очевидны: срочная ротация VPN-паролей и ключей, принудительное включение MFA, аудит успешных и неуспешных входов, проверка подозрительных учётных записей, поиск lateral movement в AD и ревизия доступов подрядчиков. Если организация использовала один и тот же пароль в нескольких системах, риск не ограничивается только VPN-периметром.

Источник: BleepingComputer, 17 июня 2026