NEW YORK, 25 gennaio 2026, 08:27 EST
- Un ricercatore ha segnalato un database non protetto contenente circa 149 milioni di coppie username-password, portando alla sua rimozione dal web
- Il deposito conteneva decine di milioni di accessi da Gmail e Facebook, insieme a conti bancari, servizi di streaming e account crypto
- I ricercatori hanno collegato la raccolta a malware “infostealer” invece che a una violazione di una singola grande piattaforma
Un database non protetto contenente circa 149 milioni di username e password — inclusi 48 milioni collegati a Gmail e 17 milioni associati a Facebook — è stato rimosso dopo che un ricercatore di sicurezza ha avvisato il provider di hosting, secondo quanto riportato. Allan Liska, analista di threat intelligence presso Recorded Future, ha osservato che “gli infostealer creano una barriera d’ingresso molto bassa per i nuovi criminali”, indicando strumenti disponibili a noleggio per poche centinaia di dollari al mese. (WIRED)
Questa esposizione è grave poiché liste di password come queste permettono agli hacker di prendere il controllo di account email e social—porte d’accesso per reimpostare le credenziali su altre piattaforme. Alimentano anche attacchi di phishing, in cui i truffatori si spacciano per banche, colleghi o team di supporto per rubare ulteriori informazioni.
I ricercatori hanno ricondotto la raccolta a malware “infostealer”—un tipo di software dannoso progettato per rubare furtivamente le credenziali dai dispositivi infetti, spesso registrando i tasti premuti. Questo suggerisce un furto diffuso e caotico che avviene direttamente sui dispositivi, piuttosto che una violazione mirata dei server di una singola azienda.
Jeremiah Fowler ha riportato per ExpressVPN che il database non aveva né protezione tramite password né crittografia, contenendo 149.404.754 credenziali di accesso uniche—circa 96 gigabyte di dati non elaborati. Ha osservato che i campioni includevano email, username, password e gli URL esatti in cui si sono verificati gli accessi, un fattore che potrebbe accelerare gli attacchi automatizzati. (ExpressVPN)
La raccolta trapelata copriva una vasta gamma di servizi consumer come Instagram, Netflix, TikTok, Yahoo, Outlook e iCloud, oltre a conti finanziari e piattaforme crypto, ha riportato TechRepublic. Fowler ha avvertito che le credenziali collegate a domini email governativi potrebbero consentire “spear-phishing mirato, impersonificazione o fungere da punto d’ingresso nelle reti governative.” (TechRepublic)
People.com, citando il rapporto di Fowler, ha ammesso di non poter confermare in modo indipendente i risultati e ha sottolineato che i criminali spesso lasciano enormi raccolte di dati non protette nella loro corsa alla velocità e alla scala. Fowler ha avvertito che la combinazione di credenziali e link di accesso “aumenta drasticamente la probabilità di frodi, potenziale furto d’identità, crimini finanziari e campagne di phishing.” (People)
Si sa ben poco su chi abbia messo insieme il database o per quanto tempo sia rimasto esposto, ha riportato TechRadar. Ci è voluto quasi un mese per farlo rimuovere dopo che il provider di hosting inizialmente aveva incolpato una sua controllata che agiva in autonomia. La testata ha osservato che i dati sembravano indicizzati per una ricerca più facile, suggerendo che probabilmente fossero stati costruiti per essere riutilizzati piuttosto che semplicemente lasciati esposti per errore. (TechRadar)
Ma questi numeri di copertina possono essere ingannevoli. Fowler ha ammesso di non aver individuato chi gestisce il server, e non si sa ancora quanti dati di accesso siano attuali, quanti provengano da account attivi o quanti fossero già disponibili.
Il solo dataset non dimostra che Google, Meta o altre aziende menzionate siano state direttamente hackerate. I dati raccolti dagli infostealer di solito provengono da dispositivi compromessi prima di essere raggruppati, rivenduti, ripubblicati e mescolati con vecchie fughe di dati.
Fowler ha consigliato agli utenti di controllare l’attività dei propri account, rafforzare le impostazioni di sicurezza e evitare di riutilizzare le password su più siti, secondo il suo rapporto e le coperture correlate. Gli esperti di sicurezza raccomandano spesso l’autenticazione a due fattori—un livello di backup che prevede un codice o una scansione biometrica—quando le password vengono compromesse.
Per aziende e enti pubblici, la minaccia va oltre la frode ai danni dei consumatori. Le credenziali email dei dipendenti e quelle “.edu” o “.gov” possono aiutare gli aggressori a creare tentativi di phishing più credibili o persino ad accedere a sistemi interni quando le password vengono riutilizzate.
La rimozione di un database non cancella le conseguenze. Le copie possono circolare rapidamente, e i mercati di credenziali rubate continuano a prosperare — una fonte costante per truffe che si basano più su credenziali fresche e pazienza che sulla complessità.
