149 milioni di password in chiaro online: scoperto un database globale di credenziali rubate

Jeremiah Fowler è un ricercatore esperto in sicurezza informatica, tecnologia nonché giornalista. Già in passato aveva fatto una scoperta simile ma questa volta i contorni del problema emerso sono ancora più inquietanti. Un database pubblico, privo di qualsiasi forma di autenticazione o cifratura, conteneva oltre 149 milioni di coppie uniche di login e password, per un volume complessivo di circa 96 GB di dati grezzi. Non si trattava di un archivio teorico o di dati parziali, ma di credenziali reali, complete di email, username, password in chiaro e URL esatti delle pagine di accesso ai servizi.

Un archivio globale di credenziali rubate

L’elemento più allarmante non è solo la quantità dei dati, ma la loro eterogeneità. Le credenziali provenivano da ogni parte del mondo e coprivano praticamente qualsiasi categoria di servizio digitale oggi utilizzata: social network come Facebook, Instagram, TikTok e X, piattaforme di streaming come Netflix, Disney Plus e HBO Max, servizi di gaming come Roblox, siti di dating e persino account legati all’intrattenimento per adulti. A questi si aggiungevano account finanziari, wallet di criptovalute, piattaforme di trading, home banking e carte di credito.

La presenza di account con TLD .gov, appartenenti a diversi Paesi, introduce un’ulteriore dimensione di rischio. Anche quando un singolo account governativo non consente l’accesso diretto a sistemi critici, può comunque diventare un vettore per attacchi mirati, campagne di spear-phishing credibili o tentativi di impersonificazione. In determinati contesti, una singola credenziale compromessa può rappresentare il primo anello di una catena che porta a violazioni ben più gravi, con potenziali implicazioni per la sicurezza nazionale e pubblica.

Infostealer e keylogging: la fabbrica dei dati rubati

L’analisi dei file svolta da Fowler, che ha poi condiviso la sua scoperta con ExpressVPN, suggerisce che il database fosse alimentato da malware di tipo infostealer, progettati per operare in modo silenzioso sui dispositivi infetti.

I componenti dannosi non si limitavano a registrare le sequenze di tasti, ma raccoglievano informazioni strutturate: percorsi di accesso, URL di login, dettagli sull’host e persino una particolare organizzazione dei dati basata su “host reversed path”, ovvero una formattazione del nome dell’host in ordine inverso rispetto al dominio tradizionale, ad esempio com.servizio.utente.macchina invece del classico macchina.utente.servizio.com. Questa scelta tecnica non è casuale: consente di indicizzare facilmente le informazioni e, allo stesso tempo, può aggirare controlli di sicurezza elementari che cercano pattern di dominio standard.

Ogni record era identificato da un hash univoco, a dimostrazione di un sistema pensato per evitare duplicazioni e massimizzare l’efficienza del riutilizzo criminale dei dati. In altre parole, non era un semplice dump disordinato, ma un archivio costruito per essere sfruttato su larga scala, probabilmente in modo automatizzato.

Un’esposizione che cresceva nel tempo

Un ulteriore dettaglio sinistro riguarda la dinamica temporale dell’incidente. Dal momento della scoperta fino alla messa offline del database, il numero di record continuava ad aumentare, segno che il flusso di dati rubati era ancora attivo. Ciò suggerisce che l’infrastruttura fosse parte integrante di un’operazione in corso e non un residuo abbandonato.

La segnalazione al provider di hosting ha richiesto settimane e numerosi tentativi prima che l’accesso venisse finalmente bloccato. Nel frattempo, chiunque avesse individuato il database avrebbe potuto consultarlo liberamente con un semplice browser Web. È un esempio emblematico di come anche infrastrutture criminali possano essere mal configurate e, paradossalmente, vulnerabili quanto i sistemi delle vittime che colpiscono.

Rischi concreti per individui e organizzazioni

L’impatto potenziale di una simile esposizione va ben oltre il singolo account compromesso. La combinazione di email, password e URL di accesso permette di orchestrare attacchi di credential stuffing estremamente efficaci, aumentando drasticamente la probabilità di takeover di account email, finanziari e aziendali.

Una volta compromesso un account email, il rischio si amplifica: reset di password, accesso a documenti riservati, cronologie di comunicazioni e dati personali diventano immediatamente disponibili agli attaccanti.

Dal punto di vista della privacy, la possibilità di correlare servizi utilizzati, abitudini digitali e affiliazioni personali consente la creazione di profili dettagliati, ideali per campagne di ingegneria sociale avanzata. In alcuni casi, l’accesso a contenuti privati – come chat, immagini o informazioni sensibili – può tradursi in ricatti o molestie anche a distanza di anni.

Perché cambiare password non basta

Un errore comune è pensare che la semplice modifica delle password risolva il problema. In presenza di un dispositivo infetto, ogni nuova credenziale inserita può essere immediatamente intercettata. Gli infostealer moderni non si limitano alla digitazione: possono leggere il contenuto degli appunti, estrarre cookie di sessione, intercettare token di autenticazione e recuperare dati direttamente dalla memoria del browser prima che siano cifrati.

L’uso di un password manager rappresenta un miglioramento significativo rispetto al riutilizzo delle password, soprattutto contro i keylogger più semplici, ma non è una soluzione definitiva contro sistemi completamente compromessi. La sicurezza reale nasce dalla combinazione di più livelli: antivirus aggiornati, sistemi operativi patchati, controllo delle estensioni del browser, revisione dei permessi delle applicazioni e, soprattutto, autenticazione a più fattori (2FA o MFA).