Fuga di 16 miliardi di password: Allarme globale sicurezza

Fuga di 16 miliardi di password: Allarme globale sicurezza

A giugno 2025 è stato scoperto il più grande furto di password mai avvenuto: 16 miliardi di credenziali trafugate tra username e password da oltre 30 data breach distinti sono state messe online e sono ora potenzialmente accessibili ai criminali informatici. Si tratta di dati appartenenti a piattaforme come Google, Apple, Facebook, Telegram, GitHub, portali governativi e molti altri servizi. Gli esperti sottolineano che questa fuga di informazioni espone chiunque utilizzi la stessa password su più account a gravi rischi: cambia subito tutte le password, attiva l’autenticazione a due fattori e non riutilizzare mai la stessa password per più servizi. È fondamentale adottare queste misure per proteggere le proprie identità digitali ed evitare furti di dati, truffe e accessi non autorizzati.

La nuova frontiera dei data breach

Il 2025 verrà ricordato come l’anno del più vasto data breach mai registrato: ben 16 miliardi di credenziali tra username e password sono state sottratte e diffuse online in un unico, mastodontico archivio messo insieme raccogliendo informazioni da oltre 30 fonti diverse, principalmente tramite sofisticati malware noti come infostealer. Questi programmi malevoli, una volta infettato un computer, raccolgono tutto ciò che può servire a un criminale digitale: accessi ai social, email, siti aziendali, e servizi di ogni genere.

A preoccupare non è solo la quantità: «Questa fuga di dati non è una semplice somma di vecchi leak, ma un concentrato di dati attualizzati, ben organizzati e pronti per essere sfruttati» affermano i ricercatori. La natura “fresca” del dump, infatti, lo rende molto più pericoloso rispetto ai vecchi database circolati negli anni scorsi, spesso obsoleti e poco utili agli attaccanti. Mai prima d’ora un simile volume di account compromessi era stato lasciato in balia di chiunque sapesse dove cercare.

Chi c’è dentro e perché è diverso dalle fughe precedenti

L’archivio delle 16 miliardi di password non comprende un singolo “grande” sito, ma racchiude informazioni provenienti da tantissimi servizi e piattaforme, tra cui:

  • Google
  • Apple
  • Facebook
  • Telegram
  • GitHub
  • Portali governativi
  • Social network
  • App di messaggistica
  • Piattaforme aziendali
  • Database di aziende tecnologiche

Le credenziali sono state raggruppate, rivalutate e messe insieme in dataset che vanno dai 10 milioni ai 3,5 miliardi di record cadauno. Pur con una certa sovrapposizione, la dimensione effettiva del rischio resta immensa: non si tratta di una riciclo di vecchi dati, ma di una vera e propria “blueprint” per sofisticate campagne di cybercrime, pensate sia per attacchi mirati che su larga scala.

Cosa trovano i criminali in questi archivi?

Nel dettaglio, i dati contengono spesso:

  • Username/e-mail
  • Password (molte in chiaro, altre cifrate)
  • Indirizzi di accesso (URL)
  • Cookie di sessione
  • Token di autenticazione
  • Dati autofill del browser
  • Informazioni di contatto

Il vero allarme è che molte di queste password sono tuttora valide — e soprattutto, secondo le statistiche, almeno il 94% degli utenti le ha riutilizzate su più piattaforme.

Perché è così pericoloso: lo stato delle password nel 2025

Lo stato della cybersecurity personale si rivela preoccupante. I dati raccolti nel 2025 mostrano che:

  • Il 94% delle password viene riutilizzato su più account.
  • Solo il 6% delle password è davvero unico.
  • Il 42% delle credenziali è troppo breve (8-10 caratteri).
  • Il 27% delle password è formato da solo lettere minuscole e numeri.
  • Solo il 3% delle password rispetta i requisiti minimi di complessità.

Addirittura, tra le password più comuni trovate nel data breach ci sono “admin” (usata 53 milioni di volte) e “password” (ben 56 milioni di occorrenze!).

Il meccanismo di attacco: dalla raccolta all’abuso

Come avviene la raccolta dei dati? I malware infostealer vengono diffusi tramite mail malevole, software pirata, siti-trappola o allegati infetti. Una volta eseguiti, copiano tutti i dati salvati nei browser e nelle app, inviandoli ai controllori della botnet. Questi archivi vengono poi organizzati e spesso messi in vendita o diffusi gratuitamente per sferrare attacchi coordinati: phishing, furto di identità, truffe bancarie o la compromissione di account aziendali.

Nei casi più gravi, le informazioni rubate sono sufficienti per prendere il controllo totale delle identità digitali delle vittime.

Cosa rischiano aziende e privati?

  • Accesso non autorizzato a conti bancari online e wallet di criptovalute.
  • Compromissione degli account social e utilizzo per truffe o spam.
  • Furto d’identità, con richiesta di documenti o prestiti a nome di terzi.
  • Attacchi mirati ad aziende (es. spear phishing) sfruttando la compromissione di dipendenti.
  • Violazione della privacy (foto, documenti, informazioni sensibili).
  • Appropriazione di dati sensibili tramite email compromesse, spesso usate per archiviare anche contratti, documenti sanitari, dati fiscali e molto altro.

La reazione delle aziende e dei giganti del web

La maggior parte delle aziende coinvolte (come Google, Apple, Microsoft, Facebook) ha affermato che i propri sistemi non sono stati violati direttamente, ma che si tratta appunto di dati rubati dagli utenti tramite malware o raccolte aggregate dopo vecchi attacchi. Tuttavia, molte piattaforme stanno forzando il reset delle password e raccomandando l’attivazione dell’autenticazione a due fattori (2FA), soprattutto laddove si rilevino accessi sospetti o tentativi di login anomali.

Buone pratiche di base da adottare subito

Per chiunque abbia anche solo il sospetto di essere coinvolto (ovvero, praticamente tutti i navigatori online), ecco cosa fare immediatamente:

  • Cambia tutte le password dei tuoi account principali (email, social, banche, servizi online).
  • Utilizza password completamente diverse per ogni servizio.
  • Attiva l’autenticazione a due fattori ovunque disponibile.
  • Non salvare le password nei browser. Utilizza invece un password manager affidabile.
  • Non inserire mai username e password su siti che ti arrivano tramite link sospetti (phishing).
  • Aggiorna continuamente i tuoi dispositivi con le ultime patch di sicurezza.

Approfondimento: come difendersi in modo efficace

Oltre alle azioni immediate, servono strategie a lungo termine per innalzare la sicurezza online:

  • Adotta password complesse, lunghe almeno 14 caratteri, con maiuscole, minuscole, numeri e simboli.
  • Controlla periodicamente se le tue credenziali sono state compromesse tramite servizi come “Have I Been Pwned” o simili.
  • Evita l’uso della stessa password su più siti: se uno viene compromesso, tutti i tuoi account sono a rischio.
  • Salva le informazioni sensibili (contratti, documenti personali, ecc.) soltanto dove hai pieno controllo e utilizza sistemi di archiviazione criptata.
  • Impara a riconoscere tentativi di phishing e social engineering: se ricevi richieste di inserire i dati in una pagina sospetta, verifica sempre l’autenticità prima di agire.
  • Fai attenzione al download di software e allegati: scarica solo da siti ufficiali e non cedere alla tentazione dei programmi pirata.
  • Per le aziende: formazione continua dei dipendenti, monitoraggio delle anomalie d’accesso ai sistemi, e adozione di sistemi di autenticazione avanzata (come FIDO2 o passkey).

In sintesi, la fuga di 16 miliardi di password rappresenta un cambio di paradigma nel panorama cyber: nessuno può dirsi al sicuro. Solo cambiando abitudini e adottando tecnologie all’avanguardia si può mitigare il rischio di diventare la prossima vittima.
Non aspettare che il danno sia fatto: agisci ora, perché questa volta la portata dell’attacco è davvero globale.

Fonte: https://securityboulevard.com/2025/09/another-day-another-data-dump-billions-of-passwords-go-public

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto