Scoperta la più grande fuga di dati della storia: 16 miliardi di credenziali rubate online

Scoperte qualcosa come 16 miliardi di credenziali rubate, raccolte tramite una massiccia campagna di esfiltrazione dati alimentata da malware infostealer moderni come RedLine, Raccoon e Vidar. A differenza di precedenti fughe di dati, le credenziali sono recenti, non storiche, e immediatamente sfruttabili per accessi non autorizzati, phishing e furti d’identità.
Michele Nasi
Pubblicato il 19 giu 2025
Scoperta la più grande fuga di dati della storia: 16 miliardi di credenziali rubate online

Quando a maggio è emersa la notizia dei 184 milioni di credenziali compromesse, molti hanno ritenuto si trattasse di un evento eccezionale. Tuttavia, ciò che è emerso successivamente ha frantumato ogni precedente parametro: 16 miliardi di credenziali esposte, probabilmente frutto di una delle più vaste e pericolose campagne di esfiltrazione dati mai documentate.

Secondo l’inchiesta condotta da Cybernews, la scoperta include 30 dataset unici, ciascuno contenente da decine di milioni a oltre 3,5 miliardi di record. Questi dati non sono soltanto una riproposizione di violazioni storiche, ma in gran parte informazioni inedite, fresche, collezionate tramite malware (generalmente infostealer) moderni, progettati per rubare dati da browser, password manager, sessioni attive e cookie.

Questa non è una semplice fuga di dati: è un manuale operativo per l’esecuzione di campagne di phishing, furti d’identità e accessi non autorizzati su scala globale”, hanno dichiarato i ricercatori.

Come sono strutturati i dataset apparsi sul Dark Web?

Ogni record è strutturato in modo funzionale: URL, nome utente, password. In molti casi sono presenti anche token di sessione, cookie, timestamp e metadati, rendendo il contenuto immediatamente sfruttabile per attacchi contro account personali, aziendali e istituzionali.

Tra i servizi coinvolti figurano nomi altisonanti:

  • Apple, Google, Facebook, Telegram, GitHub
  • Portali governativi
  • Piattaforme di sviluppo e servizi cloud
  • Accessi VPN e ambienti aziendali riservati

Infostealer: l’arma del crimine informatico moderno

Il punto focale dell’indagine è che le credenziali di accesso provengono da infostealer attivi, come RedLine, Raccoon, Vidar e altri. Questi strumenti, spesso venduti come Malware-as-a-Service (MaaS), raccolgono in modo silente informazioni da milioni di dispositivi infetti, caricandole su archivi remoti (spesso su server Elasticsearch o bucket cloud).

In almeno un caso, è stato identificato un dataset con oltre 3,5 miliardi di record apparentemente correlati a popolazioni lusofone. Un altro, da 455 milioni di record, sembra provenire dalla Federazione Russa. Uno contenente 60 milioni di accessi era etichettato “Telegram”, evidenziando la varietà di target e modalità di classificazione.

La minaccia è attiva, non storica

Ciò che differenzia questo evento dalle precedenti raccolte di username e password – come RockYou2024 e MOAB (Mother of All Breaches) – è la recente generazione e l’elevato potenziale di sfruttamento. I ricercatori sottolineano che le fughe di dati non sono storiche né aggregate da vecchi dump, ma dati attuali, effettivamente utilizzabili dai criminali informatici.

Un successo inferiore all’1% per i cybercriminali significa comunque milioni di accessi validi”, osservano i ricercatori. “Basta poco per compromettere un’identità e ottenere l’accesso a conti bancari, dati sanitari o infrastrutture critiche”.

Non è ancora chiaro se i dataset siano stati scoperti accidentalmente, aggregati da ricercatori di sicurezza o già utilizzati attivamente in campagne malevole. In molti casi, i database sono stati trovati su server pubblici temporaneamente accessibili, ma per una finestra temporale sufficiente a permettere la loro copia.

Le contromisure da mettere subito in campo

L’attacco non è teorico. È in corso. Per questo motivo, ogni utente – individuale o aziendale – è chiamato ad agire immediatamente. I consigli migliori sono sicuramente i seguenti:

  • Cambiare le password, in particolare su account contenenti dati di valore.
  • Implementare password manager sicuri per generare e memorizzare credenziali uniche.
  • Adottare passkey o misure MFA (autenticazione multifattore), laddove disponibili.
  • Monitorare i dispositivi per la presenza di infostealer attivi.
  • Verificare la propria esposizione su servizi come Have I Been Pwned.

La vicenda dimostra ancora una volta che la sicurezza informatica non è solo un problema tecnologico, ma una responsabilità collettiva. Le imprese devono prodigarsi per proteggere meglio i dati dei propri utenti, ma anche ogni individuo deve essere parte attiva nel preservare la propria identità digitale.

Siamo di fronte a un punto di non ritorno nella gestione delle identità online. I 16 miliardi di record trafugati non sono solo numeri, ma vite digitali potenzialmente compromesse.

Ti consigliamo anche

Windows Hello non funziona più al buio: una scelta di sicurezza, non un bug
Identità digitale

Windows Hello non funziona più al buio: una scelta di sicurezza, non un bug
Questa VPN è cresciuta del 1000% in soli 30 minuti:
Identità digitale

Questa VPN è cresciuta del 1000% in soli 30 minuti: "merito" delle restrizioni
It-Wallet senza connessione a internet? Ora si può
Identità digitale

It-Wallet senza connessione a internet? Ora si può
Microsoft Authenticator: password da esportare prima di luglio
Identità digitale

Microsoft Authenticator: password da esportare prima di luglio
Link copiato negli appunti