Un database contenente 149 milioni di credenziali di accesso è rimasto messo online per settimane, accessibile a chiunque dotato di un semplice browser. Dentro c’era di tutto: 48 milioni di account Gmail, 17 milioni di profili Facebook, 4 milioni di credenziali Yahoo, 1,5 milioni per Microsoft Outlook, 900.000 per iCloud di Apple, 6,5 milioni per Instagram, 780.000 per TikTok. Oltre a credenziali per HBOmax, Disney Plus e Netflix. Ma anche password per conti bancari, carte di credito, profili OnlyFans, account governativi di diversi paesi. Un tesoro da 96 gigabyte di dati sensibili in chiaro, senza protezione, senza crittografia. A scoprire questa voragine digitale è stato Jeremiah Fowler, analista di sicurezza con decenni di esperienza alle spalle. Fowler si è imbattuto nel database durante una delle sue ricerche di routine, quelle che i white hat conducono per identificare vulnerabilità prima che le sfruttino i criminali. Quello che ha trovato però non era una semplice falla di sicurezza: era l’equivalente digitale di una cassaforte spalancata nel mezzo di una piazza pubblica.
La struttura del database suggerisce un’origine precisa: un’infezione massiccia da infostealer, quei malware invisibili che si installano sui dispositivi delle vittime e registrano silenziosamente ogni credenziale inserita. Keylogger sofisticati capaci di catturare username, password e persino gli URL esatti delle pagine di login. Il database era organizzato in modo automatico, con identificatori unici per ogni log rubato, come se qualcuno avesse costruito un sistema progettato per indicizzare e ricercare rapidamente milioni di accessi compromessi. Ma la parte più inquietante riguarda gli accessi governativi. Fowler ha individuato credenziali associate a domini .gov di numerosi paesi, inclusi account brasiliani e di altre nazioni. Non tutti gli accessi governativi garantiscono l’ingresso a sistemi sensibili, certo, ma anche un accesso limitato può diventare pericoloso nelle mani sbagliate. Quelle credenziali potrebbero alimentare campagne di spear-phishing mirate, impersonificazione di funzionari o, nel peggiore dei casi, costituire un punto d’accesso a reti governative. La sicurezza digitale non è roba da prendere alla leggera.
Fowler non è riuscito a identificare chi gestisse il database. Nessuna informazione di proprietà, nessun indizio chiaro. Ha quindi fatto l’unica cosa sensata: contattare il provider di hosting per segnalare la violazione. Ma qui le cose si sono complicate. La prima risposta è stata un rimbalzo: il provider principale ha spiegato che l’IP in questione apparteneva a una sussidiaria canadese che operava in modo indipendente. Ci sono voluti quasi un mese e molteplici tentativi prima che qualcuno agisse davvero, sospendendo finalmente l’hosting e rendendo inaccessibile il database. Un mese durante il quale il database ha continuato a crescere. Fowler ha osservato l’aumento costante del numero di record, nuove credenziali che si accumulavano giorno dopo giorno, segno che il malware responsabile era ancora attivo e stava continuamente infettando nuovi dispositivi. Un flusso inarrestabile di dati rubati che finiva in quel pozzo nero digitale aperto a tutti.
L’indicizzazione automatica, gli identificatori unici, la formattazione dei percorsi host invertiti: tutto suggerisce un sistema pensato per essere interrogato facilmente. Come se qualcuno avesse costruito un motore di ricerca per credenziali rubate, magari per venderle a clienti criminali interessati a specifici tipi di account. Gli attacchi di credential stuffing, quelli in cui i criminali provano automaticamente migliaia di combinazioni username-password rubate su diversi servizi, diventano devastanti con un arsenale simile. Il malware si diffonde attraverso allegati email malevoli mascherati da documenti legittimi, falsi aggiornamenti software che promettono sicurezza ma installano il trojan, estensioni browser compromesse che sembrano innocue utility, persino pubblicità ingannevoli su siti apparentemente rispettabili. Una volta installato, l’infostealer lavora nell’ombra. Non rallenta il computer, non mostra banner, non dà segni evidenti della sua presenza. Si limita a registrare, trasmettere e sparire.
La soluzione parte dai dispositivi. Se un device è infettato da un infostealer, cambiare le password non serve a nulla: il malware catturerà anche le nuove. Prima bisogna ripulire il sistema. Un antivirus aggiornato rappresenta la prima linea di difesa, eppure secondo un report pubblicato nell’ottobre 2024, solo il 66 percento degli adulti utilizza software antivirus. Più di un terzo naviga senza protezione, con dispositivi potenzialmente vulnerabili a questo tipo di minacce. Su mobile, la procedura base prevede l’aggiornamento del sistema operativo e l’installazione o l’aggiornamento del software di sicurezza. Gli update del sistema operativo non sono fastidiosi capricci degli sviluppatori: patchano vulnerabilità note che i malware sfruttano attivamente. Vale la pena anche rivedere i permessi delle app, le impostazioni della tastiera, l’accesso all’accessibilità e i privilegi di amministrazione del dispositivo. Regola d’oro: installare applicazioni solo dagli store ufficiali.
Per chi si chiede se il proprio account sia tra quelli compromessi, esistono servizi come Have I Been Pwned che permettono di verificare se email o username sono stati coinvolti in data breach noti. Non è una garanzia assoluta, ma è un punto di partenza. Se scopri che i tuoi dati sono stati esposti, la procedura è chiara: cambiare immediatamente le password, ma solo dopo aver verificato che il dispositivo sia pulito da malware. Attivare l’autenticazione a due fattori dove possibile. Monitorare gli estratti conto bancari e le carte di credito per transazioni sospette.
