Have I Been Pwned segnala 2 miliardi di email esposte: rischio credential stuffing

Un nuovo allarme scuote il panorama della sicurezza digitale: una fuga di dati senza precedenti ha esposto ben 2 miliardi di indirizzi email unici e oltre 1,3 miliardi di password, mettendo a rischio milioni di utenti e aziende in tutto il mondo. Questo episodio segna un punto di svolta nell’analisi delle minacce informatiche, sottolineando ancora una volta quanto sia fragile la protezione dei nostri dati online.

Secondo quanto riportato dagli esperti, la nuova raccolta di dati compromessi rappresenta il più grande archivio mai integrato all’interno della piattaforma Have I Been Pwned, il noto servizio di monitoraggio delle violazioni di dati personali. Il database, aggiornato il 5 novembre 2025, si distingue non solo per le dimensioni, ma anche per la varietà delle fonti coinvolte: si parla di 32 milioni di domini diversi e di quasi 400 milioni di account Gmail colpiti, una cifra che fa riflettere sulla portata globale della minaccia.

1,3 miliardi di password rubate: Have I Been Pwned allerta gli utenti

La provenienza di questo gigantesco dataset è riconducibile a Synthient, azienda americana specializzata in threat intelligence. Il materiale raccolto è stato utilizzato principalmente per orchestrare attacchi di credential stuffing, una tecnica sempre più diffusa che si basa sull’automatizzazione di tentativi di accesso illecito sfruttando combinazioni di credenziali sottratte da precedenti violazioni. Il fenomeno, purtroppo, continua a mietere vittime proprio a causa della cattiva abitudine di molti utenti di riutilizzare le stesse password su più servizi.

La validità e la pericolosità del materiale emerso sono state confermate da Troy Hunt, fondatore di Have I Been Pwned, che ha personalmente verificato la presenza delle proprie vecchie credenziali nel database. Anche numerosi utenti hanno confermato di aver trovato sia password storiche che più recenti tra i dati trapelati, spingendoli a correre ai ripari e a modificare immediatamente le chiavi di accesso ai propri account più sensibili.

Questo evento evidenzia in modo lampante quanto il credential stuffing sia oggi una delle minacce più critiche per la sicurezza informatica. Gli attaccanti sfruttano la tendenza diffusa a non diversificare le password, assemblando enormi archivi di credenziali rubate da fonti differenti per poi tentare accessi automatizzati su larga scala. In questo scenario, anche provider più piccoli e domini aziendali risultano esposti, con un impatto che si estende ben oltre i confini dei servizi consumer più noti come Gmail.

Come evitare rischi

La reazione degli esperti non si è fatta attendere: il consiglio unanime è quello di verificare la propria esposizione tramite Have I Been Pwned e di adottare misure di protezione efficaci.

In particolare, viene raccomandato l’utilizzo di credenziali uniche per ogni servizio, da generare e gestire tramite password manager, così da ridurre drasticamente i rischi legati al riutilizzo delle credenziali. Un altro pilastro fondamentale della sicurezza è l’attivazione dell’autenticazione a due fattori, una barriera aggiuntiva che può fare la differenza anche in caso di furto delle password.

Non meno importante è il monitoraggio costante della propria presenza nei database compromessi: un controllo periodico può infatti rivelare tempestivamente eventuali esposizioni e permettere di intervenire prima che i danni diventino irreparabili. In parallelo, cresce la pressione sulle istituzioni affinché vengano introdotte regolamentazioni più severe in materia di notifica delle violazioni, così da garantire una maggiore trasparenza e responsabilità da parte delle piattaforme coinvolte.