LONDRA, 24 gennaio 2026, 12:01 (GMT)
- Il ricercatore Jeremiah Fowler ha scoperto 149.404.754 login e password unici in un database online non protetto, che è stato successivamente rimosso.
- La raccolta conteneva circa 48 milioni di credenziali Gmail, insieme a login collegati a social media, servizi di streaming, account crypto e alcuni domini governativi.
- Gli analisti hanno avvertito che servizi malware “infostealer” a basso costo possono automatizzare la presa di controllo degli account usando questo tipo di dati.
Un database online aperto contenente circa 149 milioni di nomi utente e password rubati — con circa 48 milioni collegati ad account Gmail — è stato rimosso dopo che un ricercatore ha avvisato il suo host, ha riferito l’esperto di cybersecurity Jeremiah Fowler. Fowler ha osservato che il dump da 96 gigabyte “non era protetto da password né crittografato.” (ExpressVPN)
Questa scoperta è significativa perché tali raccolte alimentano direttamente il credential stuffing—attacchi automatizzati che provano password rubate su vari siti popolari—e alimentano campagne di phishing più mirate, specialmente quando i dati contengono URL di login diretti.
Ciò avviene in un momento in cui i malware infostealer—software dannosi che sottraggono credenziali dai dispositivi infetti—sono passati da colpi isolati a una fonte costante di crimine.
Fowler ha descritto la raccolta come una “lista dei desideri da sogno per i criminali” durante un’intervista con WIRED. Allan Liska, analista di threat intelligence presso Recorded Future, ha sottolineato che gli infostealer offrono una “barriera d’ingresso molto bassa” e ha menzionato che noleggiare infrastrutture di alto livello di solito costa tra i 200 e i 300 dollari al mese. (WIRED)
TechRepublic ha rivelato che i log esposti includevano più di una semplice lista di password. Contenevano indirizzi email, nomi utente e link diretti ai siti dove quelle credenziali potevano essere testate. Questa configurazione facilita agli attaccanti l’automatizzazione rapida della presa di controllo degli account prima che gli utenti aggiornino le password o che le piattaforme disattivino gli account compromessi. (TechRepublic)
Fowler ha osservato che i record da lui esaminati coprivano di tutto, dai social media e piattaforme di streaming alle app di incontri, insieme ad account finanziari come login bancari e di trading crypto, tutto all’interno di un campione limitato.
Ha anche evidenziato credenziali collegate a domini governativi “.gov”, che potrebbero essere sfruttate per impersonificazione o servire da porta d’accesso per violazioni più estese, a seconda del livello di accesso di quegli account.
Ha detto che il database non riportava dettagli di proprietà, e ci sono voluti diversi tentativi per quasi un mese prima che l’hosting venisse finalmente chiuso.
Fowler ha osservato che il volume dei record è aumentato dal momento in cui ha trovato i dati fino a quando sono stati rimossi, il che ha aumentato il rischio che altri potessero aver copiato l’archivio durante quel periodo.
La rivista Security Magazine ha riportato che la cache conteneva circa 48 milioni di account Gmail, 4 milioni di accessi Yahoo e 1,5 milioni per Microsoft Outlook, oltre a milioni collegati a piattaforme social e di streaming. Shane Barney, chief information security officer di Keeper Security, ha osservato: “Questa non è una violazione nel senso tradizionale.” (Securitymagazine)
SC Media ha osservato che il database si distingueva dai precedenti dump di infostealer esaminati da Fowler, presentando campi extra come un hostname invertito e un hash di riga unico per ogni record. “Violazioni di infostealer come questa non fanno trapelare solo account isolati,” ha detto Boris Cipot, senior security engineer di Black Duck, a SC Media in una email. (SC Media)
Un’incognita: le credenziali esposte potrebbero includere sia quelle obsolete che quelle attuali, e molte potrebbero non essere più valide se gli utenti hanno aggiornato le password o i provider hanno forzato dei reset. Tuttavia, se il malware rimane sul dispositivo, cambiare password potrebbe offrire solo un sollievo temporaneo, poiché il prossimo accesso potrebbe essere nuovamente intercettato.
Gli esperti di sicurezza raccomandano solitamente di attivare l’autenticazione a due fattori—un passaggio aggiuntivo come un codice o una richiesta tramite app—e di evitare il riutilizzo delle password. Dal lato aziendale, molti monitorano improvvisi picchi di accessi automatici e bloccano i tentativi sospetti, anche se queste difese variano molto tra i diversi servizi.
Rimuovere una copia pubblica del database è solo una piccola vittoria—i dump di credenziali tendono a circolare rapidamente dopo la loro comparsa. Per le organizzazioni, l’avvertimento resta lo stesso: le password rubate continuano a essere un punto debole importante, e il flusso che le alimenta non mostra segni di rallentamento.
