Блокировки Telegram сократили число сливов данных, но не их масштаб

Telegram стал главной площадкой для сливов

К 2025 году Telegram окончательно закрепился в статусе основной площадки для публикации украденных баз данных в России. По данным годового отчёта F6 Threat Intelligence, количество публикаций в каналах мессенджера в четыре раза превысило активность на специализированных теневых форумах .

Всего в 2025 году в открытый доступ попало более 767 млн записей с персональными данными россиян — это на 67,6% больше, чем в 2024 году . Лидером по числу утечек стала коммерческая сфера (89 инцидентов), на второе место вышел госсектор (17 инцидентов) .

Почему Telegram? Мессенджер предоставляет злоумышленникам несколько ключевых преимуществ:
- Простота создания и анонимности — каналы можно создавать мгновенно, а встроенные механизмы шифрования (при правильной настройке) затрудняют отслеживание.
- Широкий охват аудитории — данные после публикации мгновенно расходятся среди тысяч подписчиков.
- Относительная устойчивость к блокировкам — администраторы каналов быстро создают зеркала и переезжают на новые адреса.

Что изменилось в первом квартале 2026 года

Специалисты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали за I квартал 2026 года 68 новых случаев публикации утечек баз данных организаций из России на андеграундных форумах и в тематических Telegram-каналах . По сравнению с аналогичным периодом 2025 года (72 публикации) количество снизилось на 5% .

Однако общий объём опубликованных данных, напротив, вырос на 8% и достиг 111,2 млн строк . Из них 96 млн строк (почти 86% от общего объёма) пришлись на один крупный инцидент .

В опубликованных массивах содержались:
- ФИО пользователей
- Адреса проживания
- Даты рождения
- Паспортные данные
- Номера телефонов
- Адреса электронной почты и пароли 

Лидеры по отраслям

По итогам первого квартала 2026 года жертвами утечек чаще всего становились :

| Отрасль | Динамика |

> Ретейл и интернет-магазины | В топе |
> Образовательные площадки и учреждения | В топе |
> Государственный сектор | В топе |
> Интернет-сервисы | В топе |
> Телеком-компании | Выбыли из лидеров |

Лада Крюкова, руководитель отдела исследования и мониторинга андеграунда департамента Threat Intelligence компании F6, прокомментировала ситуацию:

> *«Лидирующие позиции по впервые опубликованным утечкам баз данных сохраняются за ретейлом и интернет-магазинами, а также государственным сектором, что свидетельствует о высоком интересе атакующих к этим сферам»* .

Почему снизилось число публикаций: блокировки в Telegram

Аналитики F6 связывают снижение количества новых публикаций с «паузой» в активности андеграундных Telegram-каналов, которая возникла в начале 2026 года из-за волны блокировок популярных у злоумышленников каналов, специализирующихся на распространении баз данных .

Администрация Telegram (теперь под руководством Павла Дурова, вернувшегося к активному управлению) начала более жёстко реагировать на жалобы и требования правоохранительных органов о блокировке каналов, распространяющих украденные данные. В результате многие крупные «сливные» каналы были закрыты или ушли в «глубокий подпольный режим».

Дополнительные факторы

> Снижению активности также способствовали :
> Нестабильная работа андеграундных форумов — многие из них испытывают технические проблемы и DDoS-атаки.
> Полное закрытие некоторых площадок — администраторы уходят в тень, опасаясь арестов.

Однако, как отмечают эксперты, злоумышленники по-прежнему чаще всего выкладывают похищенные базы в свободный доступ, стремясь нанести максимальный ущерб компаниям и их клиентам .

4. Ключевое событие: закрытие BreachForums

В октябре 2025 года произошло событие, которое, вероятно, оказало долгосрочное влияние на ландшафт утечек. ФБР совместно с французскими правоохранителями провело крупную операцию по ликвидации всех доменов хакерского форума BreachForums, который управлялся группировкой ShinyHunters .

Детали операции

- Дата проведения: ночь 9 октября 2025 года .
- Масштаб: захвачены все домены форума, включая .onion-версию в даркнете.
- Сопутствующие изъятия: правоохранители получили доступ к архивам БД BreachForums с 2023 года, включая эскроу-базы данных и бэкенд-серверы .

Реакция хакеров

ShinyHunters признали поражение в Telegram-сообщении, подписанном их PGP-ключом (его подлинность подтвердили журналисты Bleeping Computer) . Ключевые цитаты:

> *«Эта конфискация была неизбежной. Эра форумов закончилась»* .

Группировка заявила, что не будет запускать новый BreachForums, и предупредила, что любые будущие «форумы» под этим именем могут оказаться ловушками (honeypots), контролируемыми правоохранителями .

Парадоксальный эффект

Однако закрытие BreachForums не остановило деятельность вымогателей. ShinyHunters подчеркнули, что захват форума не повлияет на их кампанию против Salesforce — данные, по их словам, всё равно будут опубликованы в установленный срок . На даркнет-портале группы уже был опубликован список компаний, якобы пострадавших в этой утечке — среди них FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Air France & KLM, HBO MAX, UPS, Chanel и IKEA .

Почему масштаб утечек вырос: эффект «супер-слива»

При сокращении числа публикаций объём утекших данных вырос — и это ключевой парадокс текущего момента. Объяснение простое: один крупный инцидент может свести на нет усилия по блокировке десятков мелких каналов.

96 млн строк из 111,2 млн — это почти 86% всего объёма утекших данных за квартал. Достаточно одной успешной атаки на крупную компанию или платформу, чтобы статистика по объёмам «покраснела», даже если количество публикаций сокращается.

Эксперты F6 отмечают, что сохраняется тенденция, когда большинство похищенных баз данных злоумышленники публикуют в свободном доступе, чтобы нанести атакованным компаниям и их клиентам наибольший ущерб .

Главные выводы

1. Блокировки Telegram-каналов работают, но частично. Они действительно сокращают количество публикаций утечек — на 5% в первом квартале 2026 года. Однако полностью остановить распространение данных невозможно, пока существует спрос на украденную информацию.

2. Закрытие BreachForums — важная, но не решающая победа. Хакеры признают, что «эра форумов закончилась», но переходят на другие площадки — в первую очередь в Telegram и даркнет-порталы .

3. «Супер-сливы» меняют статистику. Одна крупная утечка (96 млн строк) может перевесить десятки мелких. Это означает, что даже при успешной блокировке мелких каналов общий объём утекших данных может продолжать расти.

4. Ретейл и госсектор остаются главными мишенями. Злоумышленники атакуют отрасли, где сконцентрировано больше всего ценной персональной информации .

5. Тренд на публикацию в открытом доступе сохраняется. Хакеры всё реже продают данные и всё чаще выкладывают их бесплатно — ради максимального ущерба и репутационных потерь для атакованных компаний.

6. Telegram остаётся главной площадкой для сливов, несмотря на блокировки. Администрация мессенджера балансирует между сотрудничеством с правоохранителями и сохранением репутации «свободной» платформы.
Полная вёрстка и навигация — с включённым JavaScript.