Rubati 94 miliardi di cookie: il tuo account è a rischio anche se usi la 2FA (e potresti non saperlo)

94 miliardi di cookie compromessi, di cui 94 milioni risultano ancora perfettamente attivi in Italia. Dietro questi numeri si nasconde un’infrastruttura sotterranea del cybercrimine che sfrutta uno degli elementi più comuni e trascurati della navigazione online: i cookie. La nuova ricerca pubblicata da NordVPN, in collaborazione con la sua piattaforma di threat intelligence NordStellar, mette in luce una situazione allarmante che interessa milioni di utenti e che sta trasformando i browser in autentici vettori di rischio.

Cookie rubati, identità violate: la minaccia del session hijacking

L’enorme disponibilità di cookie pubblicati nel dark web rappresenta una minaccia concreta e insidiosa alla sicurezza digitale: ogni cookie di sessione può trasformarsi in una “chiave” per accedere agli account online degli utenti senza necessità di credenziali.

Il meccanismo è semplice quanto pericoloso: quando un utente effettua il login su una qualsiasi piattaforma, il server assegna un session ID memorizzato in un cookie; se questo viene sottratto (ad esempio tramite intercettazione del traffico non cifrato, attacchi XSS – cross-site scripting – o malware/infostealer), un attaccante può impersonare la vittima, inviando il cookie rubato al server e accedendo ai suoi dati e servizi in modo trasparente, bypassando l’autenticazione a due o più fattori (2FA/MFA).

Questa tecnica, nota come session hijacking o cookie hijacking, è sempre più diffusa e mira proprio a sottrarre, come abbiamo visto con vari metodi, i cookie persistenti dai dispositivi delle vittime per poi riutilizzarli per accedere ai loro account.

94 miliardi di “chiavi digitali” in vendita: l’emergenza globale dei cookie rubati

I cookie, progettati per migliorare l’esperienza utente ricordando preferenze, login e sessioni attive, sono da tempo parte integrante dell’architettura Web. La ricerca di NordVPN rivela tuttavia che quasi 94 miliardi di cookie sono stati sottratti e messi in vendita nel dark web, e il 20% circa di questi risulta ancora attivo. Questo implica che le sessioni di accesso a dati personali e riservati – email, piattaforme cloud, social media, applicazioni aziendali – potrebbero essere ancora nella disponibilità degli attaccanti.

L’Italia figura al 20° posto su 253 Paesi analizzati, con oltre 1,2 miliardi di cookie compromessi, di cui circa 94 milioni ancora validi. Ciò significa che milioni di sessioni utente (compresi i corrispondenti account) risultano vulnerabili a furti d’identità, accessi non autorizzati e acquisizione completa da parte di terzi.

La maggior parte dei cookie intercettati proviene dai giganti digitali: svetta Google con 4,5 miliardi di cookie; seguono YouTube con 1,33 miliardi; Microsoft e Bing con oltre 2 miliardi.

Questi cookie contengono ID di sessione, token di autenticazione e altri identificatori critici che, se in mano ad attori malintenzionati, consentono di bypassare completamente username e password.

Infostealer: i malware silenziosi che colpiscono i browser

Il furto dei cookie non avviene tramite attacchi rumorosi, quanto piuttosto con strumenti silenziosi e specializzati: i cosiddetti infostealer. Si tratta di malware progettati per agire sotto traccia, spesso distribuiti tramite phishing, crack software, estensioni malevole o pubblicità infette. La ricerca di NordVPN identifica 38 famiglie di infostealer, con un incremento del 216% rispetto al 2024 (quando erano 12).

I tre malware dominanti sono:

• Redline: oltre 41,6 miliardi di cookie raccolti. Estrae password, dati salvati nel browser, cookie e configurazioni.
• Vidar: circa 10 miliardi. Può scaricare payload aggiuntivi, rendendolo un trampolino di lancio per altri attacchi.
• LummaC2: 9 miliardi. Estremamente dinamico, si aggiorna per eludere costantemente i software antivirus.

A questi si aggiungono 26 nuove varianti scoperte nel 2025, tra cui RisePro, Stealc, Nexus e Rhadamanthys. Alcuni di questi, come Nexus, si concentrano su credenziali bancarie, mentre altri, come Rhadamanthys, sono capaci di installare moduli aggiuntivi in grado di compromettere interi endpoint.

Le contromisure: dal comportamento individuale alla cybersecurity proattiva

Secondo Adrianus Warmenhoven, esperto di cybersecurity di NordVPN, i cookie sono un vettore di attacco sottovalutato ma, come dimostra la ricerca, estremamente “gettonato” tra i criminali informatici. Warmenhoven osserva che un cookie compromesso può avere lo stesso impatto di una password rubata. E la cosa peggiore è che molti utenti non se ne rendono nemmeno conto: chiudono il browser, ma la sessione resta viva.

La comodità di poter tornare ad operare su una qualunque applicazione Web senza dover tutte le volte effettuare di nuovo il login è irrinunciabile per molti. È necessario però astenersi dall’usare dispositivi in condivisione o endpoint che possano essere potenzialmente insicuri. In ogni caso, è fondamentale attivare l’autenticazione a due fattori o la MFA quindi usare la modalità di navigazione in incognito.

È inoltre cruciale curare l’aggiornamento del browser, con l’installazione delle patch via via rese disponibili; evitare l’installazione di estensioni create da sviluppatori poco conosciuti e potenzialmente inaffidabili; ridurre al minimo le estensioni installate; aggiornare sistema operativo e altri software installati sulla macchina (comprese suite Office, visualizzatori PDF e così via).

In molti casi, infatti, un infostealer può insediarsi sul dispositivo (per poi razziare i cookie di sessione…) proprio sfruttando vulnerabilità irrisolte a livello software, facendo leva magari sull’assenza di patch correttive.

Warmenhoven suggerisce anche l’adozione di soluzioni di sicurezza avanzate, come la Threat Protection Pro di NordVPN, che blocca script malevoli, tracker e tentativi di phishing.