Una colossale banca dati, contenente oltre 149 milioni di combinazioni di nomi utente e password, è rimasta esposta online, accessibile a chiunque disponesse di una semplice connessione internet e di un browser web.
Il database, ora rimosso, rappresentava una miniera d’oro per qualsiasi malintenzionato, includendo credenziali per giganti della tecnologia come Google e Facebook, piattaforme di criptovalute come Binance, e persino accessi a portali governativi internazionali.
La scoperta getta nuova luce sulla pervasività degli infostealer e sull’urgente necessità per gli utenti di tutto il mondo di rivedere le proprie misure di sicurezza personali.
La scoperta di un archivio in continua espansione
Il merito del ritrovamento va a Jeremiah Fowler, un analista di sicurezza di lunga esperienza, che si è imbattuto in questo enorme archivio digitale privo di qualsiasi protezione.
Ciò che ha reso la scoperta particolarmente allarmante non è stata solo la mole dei dati, ma la loro natura dinamica. Durante il mese necessario per identificare e contattare il provider di hosting responsabile (un’azienda globale che si appoggia a società regionali indipendenti, in questo caso una filiale canadese) Fowler ha osservato il database crescere in tempo reale.
Mentre tentava di far rimuovere la risorsa per violazione dei termini di servizio, nuovi log di accesso continuavano ad accumularsi, suggerendo che la fonte dei dati fosse ancora attiva e operante.
L’analista non è riuscito a identificare con certezza i proprietari o gli operatori del server, ma la struttura stessa dell’archivio lasciava poco spazio all’immaginazione: si trattava di un sistema automatizzato progettato per catalogare e indicizzare informazioni rubate su scala industriale.
I numeri della violazione: da Gmail alle criptovalute
Analizzando il contenuto del database, le cifre emerse sono impressionanti e delineano un quadro di rischio trasversale.
La fetta più consistente dei dati compromessi riguarda gli account Gmail, con ben 48 milioni di credenziali esposte. A seguire, l’archivio conteneva circa 17 milioni di accessi per Facebook e 4 milioni per account Yahoo. Anche l’ecosistema Microsoft non è stato risparmiato, con 1,5 milioni di login per Outlook, così come Apple, che ha visto a rischio circa 900.000 account iCloud.
Particolarmente preoccupante è la presenza di dati finanziari sensibili. Tra le righe di codice sono stati individuati 420.000 accessi per Binance, una delle più grandi piattaforme di scambio di criptovalute al mondo, oltre a numerosi login per servizi di banking online e carte di credito.
Questo dettaglio trasforma quella che potrebbe sembrare una semplice violazione della privacy in un pericolo concreto e immediato per i patrimoni digitali delle vittime.
Fowler ha descritto il ritrovamento come una “lista dei desideri da sogno per i criminali“, sottolineando come la varietà dei dati permettesse di colpire gli utenti su più fronti contemporaneamente.
La pericolosità degli infostealer
Secondo l’analisi condotta da Fowler, è altamente improbabile che questi dati provengano da una violazione diretta dei server di Google, Facebook o delle altre aziende coinvolte. Tutto lascia invece supporre che il database sia il frutto del lavoro di un malware infostealer.
Questi software malevoli infettano i dispositivi degli utenti (computer e smartphone) e agiscono silenziosamente utilizzando tecniche come il keylogging per registrare tutto ciò che la vittima digita sulla tastiera, inviando poi le informazioni a un server remoto.
L’organizzazione meticolosa dei dati supporta questa tesi. Ogni record era classificato con un identificatore unico che non si ripeteva, un sistema che facilitava la ricerca e l’estrazione di informazioni specifiche.
Questa struttura suggerisce che l’archivio fosse stato concepito per essere interrogato da clienti del cybercrimine, magari interessati ad acquistare sottoinsiemi specifici di dati per condurre truffe mirate.
Allan Liska, analista di intelligence presso la società di sicurezza Recorded Future, ha evidenziato come gli infostealer abbiano abbassato drasticamente la barriera d’ingresso per i criminali: con un investimento di appena 200 o 300 dollari al mese, chiunque può affittare infrastrutture capaci di raccogliere centinaia di migliaia di password.
Dallo streaming ai segreti di stato
La vastità del database copriva ogni aspetto della vita digitale. Oltre alle email e ai social network, sono stati trovati 3,4 milioni di accessi per Netflix, 780.000 per TikTok e 100.000 per OnlyFans, dimostrando come anche l’intrattenimento sia un vettore di attacco.
Ancora più inquietante è la presenza di 1,4 milioni di account accademici e istituzionali (domini .edu) e di una “tonnellata” di login per sistemi governativi di diversi Paesi.
Sebbene il database sia stato rimosso e non sia più accessibile pubblicamente, l’incidente serve da severo promemoria. I dati potrebbero essere stati copiati prima della chiusura del server.
La raccomandazione è quella di procedere immediatamente al cambio delle password per i servizi citati e, ove possibile, attivare l’autenticazione a due fattori, unica vera barriera contro l’utilizzo di credenziali rubate.
