Scoperti nel dark web 16 miliardi di username e password rubati, pronti per essere usati da pirati informatici per sottrarre dati e denaro. È quanto emerge da un’indagine di Cybernews: una raccolta senza precedenti di credenziali, provenienti da servizi Google, Facebook, Telegram, GitHub, portali governativi e anche Apple.
Un’enorme fuga di dati, finora mai segnalata
La scoperta, la più grande fuga di dati mai registrata, nota come Mother of All Breaches (MOAB), comprende 26 miliardi di record contenuti in oltre 30 database mai segnalati prima. I dati sarebbero stati sottratti tramite malware infostealer, software che raccolgono credenziali, cookie e altre informazioni dai dispositivi infetti.
A rendere la situazione ancora più grave è il fatto che nessuno di questi dataset – tranne uno – era stato reso pubblico. Il solo caso già noto, citato da Wired a maggio, conteneva 184 milioni di voci: meno dell’1% rispetto all’insieme scoperto oggi.
Le informazioni toccano ogni tipo di servizio digitale: dalle piattaforme consumer come Apple ID, Google, Facebook, Telegram e GitHub fino a portali aziendali e siti istituzionali. In molti casi, le credenziali sono accompagnate da token di sessione, cookie e metadati, che permettono l’accesso anche senza conoscere la password.
Alcuni database hanno nomi generici come “logins” o “credentials”, altri sono più espliciti: uno con 455 milioni di record sembra legato alla Russia, un altro con oltre 60 milioni riguarda Telegram. Il più grande, con 3,5 miliardi di voci, potrebbe avere origine in ambienti di lingua portoghese.
Una minaccia tutta nuova
Non è solo la quantità a preoccupare, ma anche la struttura e l’attualità dei dati. I ricercatori spiegano che non si tratta di vecchi leak messi insieme, ma di dataset attivi e utilizzabili oggi. Una “blueprint for mass exploitation”, ovvero un modello per attacchi mirati, furti d’identità, accessi non autorizzati e campagne di phishing.
I dati sarebbero stati accessibili per periodi brevi tramite istanze Elasticsearch o storage cloud senza protezione. Nella maggior parte dei casi, non è stato possibile individuare chi ha raccolto le informazioni. Ma secondo Cybernews, una parte del materiale è già finita nelle mani dei cybercriminali.
Cosa fare (no, non basta cambiare password)
La difesa classica prevede l’uso di password complesse e uniche per ogni servizio, preferibilmente gestite con un password manager, e l’attivazione dell’autenticazione a due fattori (2FA). Ma se il dispositivo è compromesso da un infostealer, anche le credenziali più robuste possono essere sottratte.
Per questo è essenziale verificare lo stato di sicurezza del proprio computer o smartphone, aggiornare antivirus e sistemi di protezione, e usare strumenti di controllo come quelli offerti da Cybernews o “Have I Been Pwned?”.
Un ulteriore passo è l’adozione delle passkey, ormai supportate da Apple, Google e altri operatori. Questo sistema sostituisce la password con il riconoscimento biometrico o un PIN sicuro, ed è molto più difficile da intercettare o riutilizzare.
In sintesi, le precauzioni minime consigliate oggi sono:
- Attivare sempre l’autenticazione a due fattori (2FA)
- Utilizzare un password manager per creare e gestire password forti
- Adottare le passkey, quando disponibili, al posto delle password
- Effettuare controlli periodici con strumenti anti-malware e anti-infostealer
- Controllare regolarmente la presenza del proprio indirizzo email nei data breach noti
Il precedente: la MOAB da 26 miliardi
Cybernews aveva già identificato una violazione colossale all’inizio del 2024, ribattezzata anch’essa MOAB. In quel caso si trattava di una raccolta di leak noti. Oggi la situazione è diversa: questa esposizione sembra sistematica, recente, e progettata per essere sfruttata in tempi rapidi.
Tutti gli articoli di Maciynet sulla sicurezza informatica si trovano qui
