Sedici miliardi di credenziali – email, password e dati di accesso a piattaforme sensibili – sono stati trovati online in quello che gli esperti definiscono “il più vasto leak della storia digitale”. A individuarlo è stato il team investigativo del sito Cybernews, che da mesi monitora circuiti del dark web e ambienti legati al cybercrimine.
Secondo quanto riportato, i dati sarebbero contenuti in una trentina di archivi distinti, ciascuno con volumi variabili dai dieci milioni ai tre miliardi e mezzo di dati. “Non si tratta di vecchi data breach riciclati”, spiegano i ricercatori, “ma di materiale inedito, strutturato e pronto all’uso su scala industriale”.
I dump contengono credenziali raccolte da infostealer, ossia software malevoli progettati per intercettare e sottrarre dati dagli utenti, e riguardano una vasta gamma di servizi: da caselle email e account social a portali per sviluppatori, sistemi VPN, conti correnti online e accessi a enti governativi.
Secondo fonti incrociate, tra le aree più colpite figurano i Paesi lusofoni, in particolare Portogallo e Brasile, ma non è esclusa un’estensione ben più ampia.
Molti dei dati, scrive Cybernews, sono organizzati in formato URL completo di username e password: un format che consente accessi diretti e automatizzati, potenzialmente sfruttabili per attacchi mirati o vendite su marketplace clandestini. I target? Apple, WhatsApp, Facebook, GitHub, Telegram, ma anche servizi bancari e strumenti cloud aziendali.
“È il punto di partenza ideale per campagne di phishing, furti d’identità e accessi fraudolenti su larga scala”, scrivono i ricercatori.
Chiunque voglia proteggere i propri account dopo una fuga di questo tipo dovrebbe agire con rapidità e metodo. Ecco le mosse consigliate:
- Cambiare immediatamente le password, soprattutto se identiche su più servizi. Partire da quelle più sensibili: email principale, home banking, social network.
- Abilitare l’autenticazione a due fattori (2FA) ovunque possibile. È la barriera più semplice ed efficace contro gli accessi non autorizzati.
- Utilizzare un password manager (un servizio offerto da diversi browser) per creare password uniche e robuste senza doverle memorizzare.
- Monitorare il dark web, tramite servizi (anche gratuiti, come quello offerto da Gmail) che avvertono se le proprie credenziali sono state compromesse.
- Considerare il passaggio alle passkey, le nuove forme di login basate su dispositivi biometrici o token crittografici.
