Cybernews-tutkijat paljastivat 17. kesäkuuta 2026 julkisesti avoimen Elasticsearch-klusterin, joka sisälsi 24 miljardia varastettua kirjautumistietoa – 8,3 teratavun kokonaisuuden 36 eri lähteestä. Tietokanta koostui Telegram-kanavien vuodoista, vanhoista rikkomuskokoelmista, infostealers-haittaohjelmien lokeista ja suoraan live-palvelimilta viedyistä aineistoista. Ennen kuin tietokanta suljettiin verkosta, se oli avoimesti saatavilla ilman salasanaa tai autentikointia.
Löydös on vuoden 2026 laajin tunnusvuoto ja nostaa uudelleen esiin infostealer-haittaohjelmien raivon: varastettu tunnus on myytävänä minuuteissa murtautumisen jälkeen, ja credential stuffing -hyökkäykset käynnistyvät automaattisesti tuntien sisällä. Suomalaisille ja pohjoismaalaisille käyttäjille viesti on suora – 24 miljardia kirjausta sisältää todennäköisesti myös suomalaisia tilejä.
Löydös: 24 miljardia tunnusta julkisessa Elasticsearch-klusterissa
Cybernews-tutkimustiimi havaitsee jatkuvasti julkisesti avoimia tietokantoja osana rutiinimaista uhkaseurantaansa. Kesäkuun 17. päivä 2026 he törmäsivät Elasticsearch-klusteriin, jonka sisältö ylitti kaikki aiemmat löydöt: 8,3 teratavua raakadataa, järjestettynä 24 miljardin kirjautumistietueen kokoelmaksi. Tietokanta oli täysin julkinen – mitään pääsyoikeuksien hallintaa ei ollut konfiguroitu.
Elasticsearch on avoimen lähdekoodin hakumoottori, jota käytetään laajalti suurten datamäärien indeksointiin ja hakuun. Väärin konfiguroituna se altistaa koko sisältönsä kenelle tahansa, joka osaa etsiä verkosta avoimia porteja. Shodan- ja Censys-hakukoneet indeksoivat tällaisia avoimia instansseja automaattisesti, mikä tarkoittaa, että kyberrikolliset löytävät ne usein ennen kuin omistajat edes huomaavat ongelman.
Malwarebytes raportoi löydöstä samana päivänä ja suositteli kaikkia käyttäjiä tarkistamaan tunnus- ja salasanakombinationsa välittömästi. Vaikka tietokanta otettiin pian offline-tilaan, sen sisältö oli ehtinyt levitä – osa aineistosta kiertää jo kyberrikollisten markkinapaikoilla ja Telegram-kanavilla. Tietokanta löydettiin vuosipäivänä kesäkuun 2025 16 miljardin kirjauksen vastaavalle löydölle, mikä osoittaa, että credential-aggregaattorit operoivat yhä laajemmassa mittakaavassa.
Mistä 36 lähdettä koostuvat? Telegramista live-palvelimiin
Tietovuodon 36 lähdettä voidaan jakaa neljään pääkategoriaan. Telegram-kanavat ovat nousseet ensisijaiseksi jakelualustaksi varastetuille tunnuksille: kyberrikolliset myyvät ja jakavat infostealer-lokeja kymmenissä suljetuissa ja puolijulkisissa kanavissa. Osa kesäkuun 2026 vuodon aineistosta on peräisin juuri näistä kanavista, joista jotkut lähettävät uusia lokipaketteja päivittäin.
Aiempien rikkomuskokoelmien uudelleenpakkaukset muodostavat toisen merkittävän osan. Nämä ovat satoja aiemmin vuotaneita tietokantoja – Facebook 2019, LinkedIn 2021, Twitch 2021 – jotka on niputettu uudeksi kokonaisuudeksi lisäten käytettävyyttä credential stuffing -hyökkäyksissä. Infostealer-haittaohjelmien lokit ovat tuorein ja vaarallisin osa: ne sisältävät URL-osoite, käyttäjätunnus ja salasana -kolmikoita, jotka haittaohjelma on varastanut suoraan uhrin selaimesta tai järjestelmästä viime kuukausina.
Vaarallisin kategoria on kuitenkin suoraan live-palvelimilta viedyt aineistot: tietokannat, jotka on kopioitu yritysten huonosti suojatuista järjestelmistä reaaliajassa. Cybernewsin mukaan osa 24 miljardin kirjauksen kokoelmasta on peräisin juuri tällaisista lähteistä – mikä tarkoittaa, että kyse ei ole pelkästään vanhojen vuotojen kierrättämisestä, vaan osin tuoreesta, käyttökelpoisesta datasta, joka on kerätty tänä vuonna.
Infostealers: näkymätön varas laitteellasi
Infostealers-haittaohjelmat ovat erikoistuneet yhteen tehtävään: varastamaan kirjautumistietoja mahdollisimman tehokkaasti. Ne leviävät tyypillisesti haitallisten mainosten (malvertising), väärennettyjen selainpäivitysten, yksinkertaisella klikkauksella asennettavien ohjelmistojen tai tietojenkalastelusähköpostien liitteiden kautta. Kun haittaohjelma on päässyt laitteeseen, se käy läpi tallennetut selainten salasanat, istuntoevästelätkät, muistissa olevat tunnukset ja mahdolliset salasanahallintasovellusten tietokannat.
Tunnetuimpia infostealer-perheitä ovat RedLine Stealer, Raccoon Stealer, Vidar ja LummaC2. Kaikki neljä ovat saatavilla Malware-as-a-Service -mallilla, mikä tarkoittaa, että teknisesti taitamaton rikollinen voi vuokrata haittaohjelman käyttöoikeuden muutamalla sadalla dollarilla kuukaudessa. Varastetut tunnukset myydään sitten infostealer-lokeina, joissa tieto on nätisti URL, käyttäjätunnus ja salasana -muodossa, valmiina credential stuffing -automaatioon.
Vuoden 2025 aikana Flashpoint arvioi, että infostealer-haittaohjelmat varastivat yli 1,8 miljardia kirjautumistietoa 5,8 miljoonalta laitteelta – 800 prosentin kasvu edeltäviin vuosiin verrattuna. DeepStriken joulukuun 2025 analyysin mukaan varastetut salasanat ja istuntoevästeet näkyvät nyt 86 prosentissa tietomurroista. Tämä tekee infostealeristä yksittäisesti tehokkaimman sisäänpääsyvektorin yrityksiin ja palveluihin.
Historiallinen vertailu: megavuotojen aikajana
24 miljardin kirjauksen vuoto ei synny tyhjiössä. Viime vuodet ovat tuottaneet jatkuvan sarjan ennätyksellisiä credential-kokoelmia, joista jokainen on kasvattanut kyberrikollisten arsenalia. Alla oleva taulukko asettaa kesäkuun 2026 löydön historialliseen kontekstiin.
| Vuoto / Kokoelma | Aika | Tietuemäärä | Lähde / Löytäjä | Uhkatyyppi |
|---|---|---|---|---|
| 24 miljardin tunnusdump | Kesäkuu 2026 | 24 miljardia | Cybernews / Malwarebytes | Infostealer-lokit, live-palvelimet, Telegram |
| 16 miljardin kirjautumistietovuoto | Kesäkuu 2025 | 16 miljardia | Cybernews (Vilius Petkauskas) | 30 tietokantaa, infostealerit, credential stuffing |
| MOAB (Mother of All Breaches) | Tammikuu 2024 | 26 miljardia | Cybernews | Kokoelma vanhoista vuodoista |
| RockYou2024 | Kesä 2024 | lähes 10 miljardia (uniikit) | Hakkeriforumi | Salasanakokoelma, brute force |
| COMB (Compilation of Many Breaches) | Helmikuu 2021 | 3,2 miljardia | Hakkeriforumi | Vanhoja rikkomuksia niputtuna |
| Collection #1 | Tammikuu 2019 | 773 miljoonaa | Have I Been Pwned | Rikkomuskokoelma, credential stuffing |
Taulukosta käy selvästi ilmi, että megavuotoja ilmestyy yhä tiheämmin ja niiden koko kasvaa nopeasti. MOAB 2024 on numerollisesti suurin yksittäinen kokoelma 26 miljardilla kirjauksella, mutta kesäkuun 2026 vuoto erottuu siinä, että se sisältää tuoreita, live-palvelimilta peräisin olevia tietoja – ei pelkästään kierrätettyä vanhaa dataa. Tämä nostaa tämän vuodon käytännön vaarallisuuden paljon korkeammalle kuin pelkkä numerollinen vertailu antaisi ymmärtää.
Mikä tieto vuoti? URL, käyttäjätunnus, salasana -rakenne
Cybernewsin tutkijat havaitsivat, että 24 miljardin tietueen kokoelma noudattaa infostealer-lokeille tyypillistä rakennetta: URL-osoite, käyttäjätunnus ja salasana selkeässä tekstitiedostomuodossa. Tämä rakenne on credential stuffing -automaation kannalta ideaalinen: hyökkääjä syöttää kolmikot bottiverkkoon, joka testaa ne automaattisesti tuhansille eri palveluille.
Kirjaukset kattavat käytännössä kaikki verkkopalveluiden kategoriat: sähköpostipalvelut kuten Gmail ja Outlook, sosiaalinen media kuten Facebook, Instagram ja X (Twitter), kehittäjäalustat kuten GitHub ja GitLab, VPN-palvelut, verkkokaupat ja pankkipalvelut. Erityisen vaarallisia ovat yritysten sisäisiä järjestelmiä koskevat kirjaukset: toimialuetunnukset, VPN-tunnukset ja pilvipalvelutunnukset, sillä nämä mahdollistavat suoran pääsyn organisaation verkkoihin.
Osa kirjauksista sisältää myös istuntoevästeitä (session cookies), jotka ovat vieläkin arvokkaampia kuin pelkät salasanat: istuntoevästeen avulla hyökkääjä voi kirjautua tilille ilman salasanaa, eikä kaksivaiheinen tunnistautuminenkaan estä tätä. Tämä on syy, miksi pelkkä salasanan vaihtaminen ei aina riitä – kaikki aktiiviset istunnot on kirjauduttava ulos epäilyttävissä tilanteissa. Kesäkuun 2025 Cybernewsin vastaavassa löydössä tutkija Vilius Petkauskas vahvisti, että data tarjosi pääsyn “käytännössä kaikkiin kuviteltavissa oleviin verkkopalveluihin”.
Suomalaiset uhrina: miksi Pohjoismaat eivät ole turvassa
Suomalaisten käyttäjien ja yritysten ei pidä olettaa, että 24 miljardin kirjauksen kokoelma on heille etäinen ongelma. Cybernewsin ja Traficomin aiemmat analyysit osoittavat, että pohjoismaalaiset kirjautumistiedot löytyvät säännöllisesti suurista credential-kokoelmista. Suomen kyberturvallisuuskeskus (NCSC-FI) on raportoinut toistuvasti siitä, miten varastettuja suomalaisia tunnuksia hyödynnetään myöhemmissä hyökkäyksissä suomalaisia yrityksiä vastaan.
Suomi on erityisen kiinnostava kohde useista syistä. Korkea digitalisaatioaste, laajalle levinnyt etätyö ja pilvipalveluiden intensiivinen käyttö tarkoittavat, että yksittäisen suomalaisen käyttäjän tili saattaa avata pääsyn useisiin yritysjärjestelmiin. Lisäksi suomalaisyritysten T&K-tieto, puolustus- ja teknologiasektori sekä kriittinen infrastruktuuri ovat Supon vuoden 2026 katsauksen mukaan venäläisten ja kiinalaisten valtiollisten toimijoiden aktiivisen tiedustelun kohteena – ja infostealer on yksi yleisimmistä keinoista päästä näihin järjestelmiin.
Mordor Intelligencen vuoden 2026 arvion mukaan Suomen kyberturvallisuusmarkkina on 369,77 miljoonan dollarin arvoinen ja kasvaa 6,92 prosentin vuotuisella kasvuvauhdilla kohti 516,77 miljoonaa dollaria vuoteen 2031 mennessä. Pienille ja keskisuurille yrityksille suunnattu kyberturvallisuus kasvaa nopeimmin, 7,87 prosentin kasvuvauhdilla, osittain juuri NIS2-direktiivin laajennettujen velvoitteiden ja credential-vuotojen aiheuttaman paineistuksen takia.
Asiantuntijanäkemykset: tutkijoiden arviot megavuodosta
Cybernews kommentoi 24 miljardin kirjauksen kokoelmaa selkein sanoin. Tutkimustiimi totesi löydön olevan “muistutus siitä, että henkilökohtaiset tiedot tietomurroista, tietojenkalasteluista ja infostealer-tartunnoista jatkavat kiertoaan verkossa” – vuosia sen jälkeen, kun alkuperäinen rikkomus on tapahtunut.
Kun Cybernews raportoi kesäkuussa 2025 vastaavasta 16 miljardin kirjauksen löydöstä, tutkijat olivat suorasanaisempia. Vilius Petkauskas Cybernewsistä kuvasi tilannetta: “Tämä ei ole vain vuoto – se on massahyväksikäytön käsikirja. Yli 16 miljardin kirjautumistietueen paljastuminen antaa kyberrikollisille ennennäkemättömän pääsyn henkilökohtaisiin tunnuksiin, joita voidaan käyttää tilien kaappaukseen, identiteettivarkauksiin ja erittäin kohdennettuihin tietojenkalasteluihin.” Kesäkuun 2026 löydön voidaan katsoa jatkavan samaa trendiä entistä laajemmassa mittakaavassa.
F5-tietoturvayhtiön analyytikot totesivat 16 miljardin kirjauksen löydön yhteydessä, että “infostealer-pohjaisten vuotojen mittakaava edellyttää bot-suojauksen täydellistä uudelleenajattelua”. F5:n mukaan credential stuffing -hyökkäykset ovat tehokkaampia kuin koskaan, koska tuoreet infostealer-lokit sisältävät toimivia tunnuksia – eivät vain vuosia vanhoja salasanoja.
Kriittisempi näkökulma tulee Hudson Rockista, jonka analyytikko arvioi, että osa megavuodoista sisältää “kierrätettyä, vanhentunutta tai mahdollisesti väärennettyä dataa”. Hudson Rockin laskelman mukaan 16 miljardin kirjauksen kokoelma olisi vaatinut 320 miljoonan tartunnan saaneen laitteen, mikä ylittäisi realistiset infostealer-levinneisyysluvut. Kesäkuun 2026 vuodon kohdalla keskeinen ero on kuitenkin live-palvelimilta peräisin olevat aineistot, jotka viittaavat tuoreempaan ja käyttökelpoisempaan dataan.
UConn Todayssa yhdysvaltalaiset kyberturvallisuustutkijat luonnehtivat vastaavia löydöksiä “massarikollisuuden käsikirjaksi”: kun 24 miljardia kirjausta on saatavilla, hyökkääjät voivat testata kirjautumisia automaattisesti lähes mihin tahansa verkkopalveluun, mittakaavassa joka ei olisi mahdollista manuaalisesti.
Markkinavaikutus: kyberturvallisuusliiketoiminta reagoi
Jokainen megavuoto kiihdyttää markkinakehitystä: yritykset investoivat enemmän tunnistamisen tarkistamiseen, salasanahallintaan, monivaiheiseen tunnistautumiseen ja bottisuojaukseen. Alla oleva taulukko esittää keskeisimmät kyberturvallisuusmarkkinan segmentit Suomessa ja niiden kasvuennusteet.
| Markkina-alue | Suomi 2026 (USD) | Suomi 2031 ennuste (USD) | CAGR | Kasvun ajuri |
|---|---|---|---|---|
| Kyberturvallisuus yhteensä | 369,77 milj. | 516,77 milj. | 6,92 % | NIS2, tietovuodot, digitalisaatio |
| PK-yrityssektori | ~80 milj. (arvio) | ~118 milj. (arvio) | 7,87 % | NIS2-velvoitteet, infostealer-uhkat |
| Identiteetin hallinta (IAM) | kasvava | kasvava | >8 % (alan arvio) | Credential-vuodot, MFA-pakotteet |
| Bottisuojaus / Credential monitoring | kasvava | kasvava | >10 % (alan arvio) | Credential stuffing -hyökkäykset |
| Kyberbudjetti (valtion lisäpanostus) | 4,7 milj. EUR/v. | jatkuva | pysyvä | NIS2, Hyöky ja Havaro -laajennukset |
Suomen hallitus vahvisti tammikuussa 2026 pysyvän 4,7 miljoonan euron vuotuisen kyberturvallisuuslisäyksen, joka laajentaa Hyöky- ja Havaro-palveluita tuhansille NIS2-sääntelyn alaisille toimijoille. Tämä investointi kuvastaa tunnustusta siitä, että credential-vuodot ja infostealers ovat nyt keskeinen osa uhkakuvaa, johon on vastattava rakenteellisesti – ei vain reaktiivisesti.
Credential stuffing: kuinka varastetut tunnukset muuttuvat aseeksi
Credential stuffing on automatisoitu hyökkäystekniikka, jossa rikolliset syöttävät varastettuja käyttäjätunnus-salasana -pareja automaattisesti satoihin tai tuhansiin verkkopalveluihin. Koska suuri osa käyttäjistä käyttää samaa salasanaa useassa palvelussa, jopa muutaman prosentin onnistumisaste 24 miljardin kirjauksen kokoelmasta tarkoittaa satoja miljoonia potentiaalisesti kaapattuja tilejä.
Hyökkäysketju alkaa infostealer-tartunnasta tai tietokantavuodosta. Varastetut tunnukset päätyvät hakkerimarkkinapaikoille tai Telegram-kanaviin, usein muutamien tuntien tai päivien sisällä tartunnasta. Ostaja lataa credential-paketin, ajaa sen credential stuffing -työkalun läpi ja saa listan onnistuneesti validoituneista tileistä – siis tileistä, joille kirjautuminen onnistui. Näitä tilejä myydään edelleen tai hyödynnetään suoraan.
Kaapattuja tilejä hyödynnetään edelleen monin tavoin: sähköpostitileihin päästyään hyökkääjä voi nollata muiden palveluiden salasanat; pilvipalvelutileistä voidaan varastaa laskutustietoja tai louhia kryptovaluuttaa; yritystileistä voidaan käynnistää laajentuva tunkeutuminen (lateral movement) koko organisaatioon. Infostealer-lokeissa olevat istuntoevästeet ohittavat jopa monivaiheisen tunnistautumisen, koska ne edustavat jo todennettua istuntoa.
Miksi sama salasana useassa paikassa on kriittinen riski
Salasanojen uudelleenkäyttö on credential stuffingin tärkein polttoaine. Kyberturvallisuustutkimusten mukaan yli 65 prosenttia verkkokäyttäjistä käyttää samaa salasanaa useammassa kuin yhdessä palvelussa. Kun yksi palvelu murtautuu tai kirjautumistiedot vuotavat infostealer-tartunnan kautta, kaikki muut saman salasanan alla olevat tilit ovat välittömässä vaarassa.
Salasanahallintaohjelma kuten Bitwarden tai KeePass ratkaisee tämän ongelman generoimalla ainutkertaisen, satunnaisen salasanan jokaiselle palvelulle. Kun salasana on uniikki, yhden palvelun tietovuoto ei vaaranna muita tilejä. Tämä on yksinkertaisin ja tehokkain keino suojautua credential stuffing -hyökkäyksiltä. Yhdistettynä monivaiheiseen tunnistautumiseen se kattaa suurimman osan infostealer-hyökkäysten uhkakuvasta.
Elasticsearch-palvelimien avoimen konfiguraation ongelma
Kesäkuun 2026 löydön tekee erityisen huomioitavaksi se, että tietokanta sijaitsi julkisesti avoimessa Elasticsearch-klusterissa. Elasticsearch-instanssit ovat jo vuosia olleet yksi yleisimmistä syistä tahattomiin tietovuotoihin: järjestelmänvalvojat pystyttävät klusterin nopeasti, unohtavat konfiguroida kulunvalvonnan, ja Shodan-hakukone indeksoi sen muutamassa tunnissa.
Elastic on lisännyt oletussuojausta uusiin versioihin, mutta vanhat instanssit ja pikaisesti pystytetyt testausympäristöt jäävät usein ilman asianmukaista suojausta. UpGuard, Shodan ja Censys löytävät jatkuvasti kymmeniä tuhansia avoimia Elasticsearch-instansseja, joista osa sisältää arkaluonteista dataa. Sama ongelma koskee MongoDB:tä, Redis-klustereita ja Amazon S3 -ämpäreitä.
Organisaatioiden tulee auditioida kaikki Elasticsearch-instanssit säännöllisesti ja varmistaa, että autentikointi on pakollinen kaikissa ympäristöissä, myös kehitys- ja testausympäristöissä. Pilvipalveluntarjoajien tietoturvapalvelut, kuten AWS Security Hub tai Azure Defender for Cloud, voivat hälyttää avoimista tallennuspalveluista automaattisesti – näiden käyttöönotto on kriittistä.
Kuinka tarkistaa, onko omat tietosi vuotanut
Ensimmäinen askel on tarkistaa, sisältyykö sähköpostiosoitteesi tai salasanasi tunnettuihin vuotoihin. Have I Been Pwned (haveibeenpwned.com) on laajimmin käytetty ilmainen palvelu, joka indexoi miljardeja varastettuja tunnuksia. Syöttämällä sähköpostiosoitteesi näet, onko se löytynyt tunnetuista vuodoista.
Malwarebytes tarjoaa Digital Footprint Portal -palvelua, jolla voit tarkistaa laajemman digitaalisen jalanjälkesi. Google Password Manager ja Apple Keychain varoittavat automaattisesti, jos tallennettu salasana on esiintynyt tietoturvaloukkauksessa – ota nämä hälytykset käyttöön heti.
Suomalaiset voivat myös käyttää NCSC-FI:n kyberturvallisuustiedotteita (ncsc.fi), jotka informoivat suomalaisiin palveluihin kohdistuvista tietovuodoista. Organisaatioiden kannattaa liittyä NCSC-FI:n maksuttomaan Autoreporter-palveluun, joka lähettää automaattiset ilmoitukset, jos organisaation IP-osoitteet tai toimialue näkyy uhkasyötteissä.
Suositellut suojatoimenpiteet käyttäjille ja yrityksille
Malwarebytes, Cybernews ja alan asiantuntijat suosittavat seuraavia toimenpiteitä heti tietovuodon paljastumisen jälkeen. Kiireellisyys on ratkaiseva: credential stuffing -botit aloittavat tyypillisesti muutamien tuntien sisällä aineiston leviämisestä.
- Vaihda salasana heti kaikissa tärkeissä palveluissa (sähköposti, pankki, verkkokaupat, sosiaalinen media). Käytä vähintään 16-merkkistä, ainutkertaista salasanaa joka palvelussa.
- Kirjaudu ulos kaikista aktiivisista istunnoista epäilyttävissä palveluissa – tämä kumoaa myös mahdolliset varastetut istuntoevästeet.
- Ota monivaiheinen tunnistautuminen (MFA) käyttöön kaikkialle mahdolliseen. TOTP-pohjainen MFA (kuten Google Authenticator tai Authy) on SMS-pohjaista turvallisempaa.
- Käytä salasanahallintaohjelmaa (Bitwarden, KeePass tai vastaava) ainutkertaisten salasanojen generoimiseen ja hallintaan jokaisessa palvelussa.
- Tarkista laite infostealer-tartunnan varalta ajantasaisella haittaohjelmantorjunnalla. Pelkän salasanan vaihtaminen ei auta, jos laite on edelleen tartunnan alaisena.
- Varo tietojenkalasteluviestejä – vuotaneet tiedot ruokkivat kohdennettuja phishing-kampanjoita. Tarkista lähettäjä aina viralliselta verkkosivulta, älä viestin linkistä.
- Lataa ohjelmat vain luotetuilta lähteiltä (viralliset sivustot, App Store, Google Play) – infostealerit leviävät usein väärennettyjen ohjelmistojen mukana.
Yritysten osalta pelkkä käyttäjätason toiminta ei riitä. IT-tiimien tulee ottaa käyttöön credential breach monitoring -palvelut, jotka hälyttävät, jos yrityksen toimialueen sähköpostiosoitteita löytyy uusista vuodoista. Verkkolomakkeiden ja kirjautumissivujen taustalle kannattaa rakentaa rate limiting ja bot-tunnistus, jotka hidastavat credential stuffing -hyökkäyksiä merkittävästi.
Toimialan ennusteet 2026-2027
24 miljardin kirjauksen megavuoto on osa pidempää trendiä. Seuraavat kehityssuunnat ovat todennäköisiä lähivuosina:
- Infostealer-kokoelmien koko kasvaa edelleen. MOAB (26 mrd, 2024), 16 mrd (kesäkuu 2025) ja 24 mrd (kesäkuu 2026) osoittavat, että uusia megakokoelmia paljastuu säännöllisesti. Vuoden 2027 loppuun mennessä yksittäinen julkisesti löydetty aineisto saattaa ylittää 50 miljardia kirjausta.
- Passkey-adoption kiihtyy. Credential-pohjainen kirjautuminen on perustavanlaatuisesti rikki. FIDO2-pohjainen passkey-teknologia eliminoi salasanan kokonaan, jolloin varastettu tunnus on arvoton. Passkeyt olivat jo vuoden 2025 lopussa käytössä yli 15 miljardissa laitteessa, ja kasvu jatkuu kiihtyvällä vauhdilla.
- Tekoälytehostettu credential stuffing yleistyy. Tekoälypohjaiset työkalut parantavat credential stuffingin tehokkuutta: ne oppivat tunnistamaan CAPTCHA:ja, simuloivat inhimillistä selainkäyttäytymistä ja priorisoivat arvokkaimmat kirjaukset analyysin perusteella. Tämä nostaa onnistumisastetta merkittävästi.
- Regulaatiopaine kasvaa. NIS2-direktiivin ja Cyber Resilience Actin myötä yrityksillä on velvollisuus ilmoittaa tietomurroista 24 tunnin sisällä. Credential-vuodot ovat yksi keskeisistä ilmoitusvelvollisuutta laukaisevista tapahtumista – ja sakot voivat nousta jopa 10 miljoonaan euroon tai 2 prosenttiin vuotuisesta liikevaihdosta.
- Credential monitoring tulee perustoiminnaksi. Samoin kuin virustorjunta on nykypäivänä itsestäänselvyys, henkilökohtainen ja yrityskohtainen tietovuotoseuranta tulee olemaan kyberturvallisuushygienian peruselementti viimeistään vuoteen 2027 mennessä.
Aiheeseen liittyvää
Lue lisää kyberturvallisuudesta
- Pohjoismaiden kyberuhat: 44 häiriötä Suomessa vuonna 2026
- Supo 2026: kybervakoilu ja 3 katkennutta merikaapelia
- 2FA-vertailu: 5 tapaa ja 99,9 % suoja
- Coinbase tietomurto: 69 461 käyttäjää, 400 M$ vahinko
- Bitwarden vs LastPass vs KeePass: paras salasanahallinta 2026
Ulkoiset lähteet: Malwarebytes: 24 billion stolen records (2026) | BlackFog: 16 miljardin tunnusvuoto | SecPod: Mega Leak -analyysi | F5: Infostealer-vuodot ja bot-suojaus | NCSC-FI: Suomen Kyberturvallisuuskeskus
UKK: Usein kysytyt kysymykset
Mitä tarkoittaa 24 miljardin tunnuksen tietovuoto?
Cybernews-tutkijat löysivät kesäkuussa 2026 julkisesti avoimen Elasticsearch-tietokannan, joka sisälsi 24 miljardia kirjautumistietoa (käyttäjätunnus, salasana, URL-osoite). Tiedot olivat peräisin 36 lähteestä, muun muassa Telegram-kanavista, vanhoista rikkomuskokoelmista, infostealer-haittaohjelmien lokeista ja live-palvelimilta. Tietokanta otettiin pois verkosta löydön jälkeen, mutta sen sisältö on todennäköisesti jo levinnyt kyberrikollisille.
Onko kyseessä yksittäinen tietomurto?
Ei. Kyse on aggregaatista, joka on koottu useista eri lähteistä pitkän ajan kuluessa. Osa datasta on vuosia vanhaa kierrätettyjä vuotoja, mutta osa on tuoretta ja peräisin suoraan live-palvelimista – tämä tekee siitä erityisen vaarallisen verrattuna pelkkiin vanhojen vuotojen uudelleenjulkaisuihin.
Miten tarkistan, ovatko omat tietoni vuotaneet?
Mene osoitteeseen haveibeenpwned.com ja syötä sähköpostiosoitteesi. Palvelu kertoo, onko osoite löytynyt tunnetuista tietovuodoista. Voit myös käyttää Google Password Managerin tai Apple Keychainin sisäänrakennettua tietomurtovaroitusta – se hälyttää automaattisesti, jos tallennettu salasana on kompromissoitu.
Suojaako kaksivaiheinen tunnistautuminen credential stuffingilta?
Kyllä, pääasiassa. Monivaiheinen tunnistautuminen (MFA) estää useimmat credential stuffing -hyökkäykset, koska pelkkä käyttäjätunnus-salasana -pari ei riitä kirjautumiseen. Poikkeuksena ovat varastetut istuntoevästeet, jotka voivat ohittaa MFA:n, koska ne edustavat jo autentikoitua istuntoa. Siksi kirjautuminen ulos kaikista aktiivisista istunnoista on suositeltavaa epäilyttävissä tilanteissa.
Kuinka suomalaiset organisaatiot voivat suojautua?
Yritykset voivat liittyä NCSC-FI:n Autoreporter-palveluun, ottaa käyttöön credential breach monitoring -palvelun, implementoida bot-tunnistuksen kirjautumissivuille ja kouluttaa henkilöstöä infostealer-haittaohjelmien tunnistamiseen. NIS2-velvoitteet edellyttävät lisäksi 24 tunnin ilmoitusvelvollisuutta merkittävistä tietoturvaloukkauksista ja riittävien teknisten kontrollien osoittamista.
Mikä on infostealer-haittaohjelma ja miten se toimii?
Infostealer on haittaohjelma, joka kerää kirjautumistietoja tartunnan saaneelta laitteelta. Se käy läpi selainten tallennetut salasanat, istuntoevästeet ja muistissa olevat tunnukset, lähettää ne hyökkääjän palvelimelle ja poistuu usein jälkiä jättämättä. Se leviää haitallisten mainosten, väärennettyjen ohjelmistojen ja tietojenkalastelusähköpostien kautta. Tunnetuimpia perheitä ovat RedLine Stealer, Raccoon Stealer, Vidar ja LummaC2.
Onko 24 miljardia kirjausta historian suurin vuoto?
Numerollisesti Mother of All Breaches (MOAB, 26 miljardia, tammikuu 2024) on suurempi kokonaismäärässä. Kesäkuun 2026 löytö erottuu kuitenkin siinä, että osa datasta on peräisin suoraan live-palvelimilta, mikä viittaa tuoreempaan ja käyttökelpoisempaan materiaaliin credential stuffing -tarkoituksiin – mikä tekee siitä käytännöllisesti vaarallisemman kuin pelkät numerot antaisivat ymmärtää.
