Una collezione di 16 miliardi di password circola liberamente sul Web, segnando la più ampia esposizione di dati d’accesso mai vista. L’indagine di Cybernews ha individuato almeno trenta archivi distinti, spesso mai catalogati prima, che superano persino la fuga RockYou2024.
La quantità di informazioni e la loro freschezza mostrano come i ladri digitali stiano perfezionando metodi di raccolta e distribuzione delle credenziali rubate.
Perché 16 miliardi di password sono un problema senza precedenti
Gli esperti descrivono un salto di scala: non si tratta di un singolo violazione, ma di una raccolta sistematica proveniente da infostealer, credential stuffing e perdite rielaborate. Ogni record segue uno schema uniforme – URL, nome utente, password – che facilita l’automazione degli attacchi.
La presenza di cookie di sessione e token rende la situazione ancor più rischiosa, poiché questi elementi possono aggirare i normali login e, in alcuni casi, persino i meccanismi a più fattori. Secondo il ricercatore Aras Nazarovas, la sola modifica della password non basta: vanno rinnovati anche i cookie, altrimenti l’account resta vulnerabile.
Su questa mole di dati basta un tasso di successo minimo per mettere in pericolo milioni di persone. I criminali possono lanciare campagne di phishing mirato, furti d’identità o compromettere caselle aziendali, con conseguenze economiche notevoli.
Le credenziali viaggiano in archivi centralizzati
I ricercatori hanno rintracciato server Elasticsearch e bucket cloud lasciati senza protezione, dove chiunque poteva consultare o copiare i file. In passato le credenziali venivano scambiate su canali Telegram; ora si passa a repository unificati, segno di un processo sempre più “industrializzato”.
Dentro i file si trovano riferimenti a servizi di ogni genere: social network, piattaforme di messaggistica, spazi di archiviazione, strumenti per sviluppatori e perfino portali governativi. Alcuni set, denominati soltanto “login” o “credenziali”, celano centinaia di milioni di record; altri, come un archivio da 455 milioni con legami alla Federazione Russa, suggeriscono la mano di gruppi specifici.
Il conteggio effettivo delle vittime resta impreciso a causa di possibili duplicati, ma la portata complessiva indica la nascita di un’economia sotterranea dedicata alla vendita e allo sfruttamento di dati d’accesso.
Difendersi oggi: buone pratiche da adottare
Proteggere i propri account richiede disciplina digitale. Gli analisti consigliano password manager affidabili, in grado di generare chiavi uniche e robuste, da rinnovare periodicamente.
L’autenticazione a due fattori deve diventare la norma: meglio usare applicazioni dedicate o passkey rispetto agli SMS, che restano più esposti a intercettazioni.
Un controllo costante dei dispositivi con software antimalware aiuta a individuare infostealer prima che possano esfiltrare nuove informazioni. Infine, è bene verificare regolarmente l’attività degli account e contattare l’assistenza al minimo indizio di accesso sospetto.
Navigare con attenzione rimane la difesa più efficace: diffidare di link inattesi, mantenere sempre aggiornati sistemi operativi e browser riduce la superficie d’attacco e previene nuove compromissioni.
