Foto di Towfiqu barbhuiya.

Un'indagine condotta dai ricercatori di Cybernews ha rivelato la presenza online di una raccolta di circa 16 miliardi di credenziali di accesso, che permettono di autenticarsi su numerosi servizi digitali: tra questi piattaforme come Facebook, Apple, Google, GitHub e Telegram. Tuttavia l'allarme va un po' ridimensionato. Il database non è tutto frutto di un nuovo furto di dati, ma si tratta di una compilation di password e nomi utente rubati in diversi attacchi informatici avvenuti negli ultimi anni.

I 30 dataset che compongono la raccolta, che variano da decine di milioni a oltre 3,5 miliardi di record ciascuno, sono stati raccolti principalmente attraverso degli infostealer (malware progettati per sottrarre credenziali da dispositivi infetti) e attacchi del tipo credential stuffing (sfruttano combinazioni di username e password già compromesse per accedere ad altri account).

La struttura dei dati include URL, nomi utente, password e in alcuni casi cookie di sessione o token di autenticazione: la raccolta è pericolosa, poiché consente ai malintenzionati di lanciare attacchi su larga scala, come phishing mirato, furti d'identità o compromissioni aziendali. Tuttavia, la presenza di dati duplicati e obsoleti riduce il numero di credenziali effettivamente utilizzabili, con stime che suggeriscono un impatto reale su una frazione dei 16 miliardi dichiarati.

Nonostante non si tratti di una nuova violazione, la diffusione di questa raccolta, denominata da alcuni esperti «la più grande fuga di dati della storia», sottolinea la necessità di adottare misure di sicurezza più robuste. Il primo passo è verificare se le proprie credenziali siano state esposte utilizzando servizi come il famoso Have I Been Pwned, gestito da Troy Hunt. In caso di riscontro positivo, è fondamentale cambiare immediatamente le password, scegliendo combinazioni uniche e complesse, e attivare l'autenticazione a due fattori (2FA), preferibilmente tramite app o passkey. Per quanti faticano a destreggiarsi tra tutte le password al giorno d'oggi necessarie, l'uso di un gestore di password affidabile è un ulteriore passo raccomandato per migliorare la sicurezza digitale.

Spunti di approfondimento:

Violazione record: 184 milioni di credenziali pubblicate nel web

10 miliardi di password rubate e pubblicate in chiaro

Centomila messaggi WhatsApp a spasso

Dati a spasso nel cloud

La raccolta include credenziali di servizi molto diffusi, ma anche di piattaforme meno comuni, come portali governativi o account aziendali. Alcuni dataset sono stati etichettati con nomi che suggeriscono la loro origine, come "login russi" o "credenziali Telegram", mentre altri sono generici. Un archivio da 455 milioni di record è stato associato alla Federazione Russa, e un altro da 60 milioni a Telegram, ma l'origine esatta di molti dati rimane incerta.

Non è la prima volta che un numero enorme di credenziali finisce in Rete. Nel luglio 2024, un leak noto come RockYou2024 aveva esposto quasi 10 miliardi di password: le raccolte di dati compromessi sono una minaccia ricorrente. In generale, il panorama digitale non è particolarmente robusto: soltanto in Italia, nel 2024 si è registrato un aumento del 180% degli attacchi ransomware.

Leggi anche:

Il Duke Nukem Forever del 2001 sfugge nel web

Furto dati Facebook, le cose da sapere

Ho-mobile, rischio sicurezza per due milioni e mezzo di utenti

Pubblicati per errore i dati dei possessori di telecamere di sicurezza