Ufficio
Soddisfare
Massiva Fuga di Credenziali Espone Milioni di Utenti su Piattaforme Multiple
Scoperta e Dettagli del Database
Portata della Violazione
Organizzazione dei Dati Rubati
Rischi per la Sicurezza Nazionale
Come è Avvenuta la Violazione
Tecniche di Malware per il Furto di Informazioni
Misure Protettive per gli Utenti
Minaccia Crescente e Interesse Criminale
Operazione in Corso
Lezioni per la Sicurezza Informatica del Futuro
Pratiche di Sicurezza Consigliate
Risposta dai Giganti della Tecnologia
Affrontare il Problema alla Radice
Conclusione
Da iCloud a Cripto-Piattaforme: 149 Milioni di Credenziali Rubate e Password Esposte in un Database Non Protetto
Tempo: Jan, 27, 2026

Massiccia fuga di credenziali espone milioni di utenti su più piattaforme

Il ricercatore di sicurezza informatica Jeremiah Fowler ha scoperto una significativa violazione di login e password che colpisce diversi siti web popolari. La fuga ha esposto le password di 900.000 utenti iCloud all'interno di un database non protetto, insieme a 148 milioni di altri accessi rubati, raccolti silenziosamente da malware da dispositivi infetti in tutto il mondo.

Scoperta e dettagli del database

Fowler ha rivelato la violazione tramite ExpressVPN, identificando 149,4 milioni di record di accesso univoci, per un totale di circa 96 GB di dati. Questo database non criptato e privo di password era accessibile tramite qualsiasi browser web standard, rendendo le credenziali rubate vulnerabili a chiunque vi si imbattesse. Fowler ha sottolineato l'ironia del fatto che gli stessi criminali informatici spesso non riescono a proteggere i dati rubati.

Portata della violazione

  • Account iCloud: 900.000 utenti colpiti
  • Account Gmail: Circa 48 milioni di credenziali
  • Account Facebook: Circa 17 milioni di accessi
  • Account Instagram: Circa 6,5 milioni di credenziali

La violazione si è estesa oltre queste piattaforme, includendo dati di account di provider email, social network, servizi finanziari, piattaforme di criptovalute, servizi di streaming, siti di incontri, istituzioni accademiche e sistemi governativi. Altri servizi coinvolti includono Microsoft Outlook, Yahoo, Netflix, TikTok, OnlyFans, Binance, Roblox e vari accessi bancari e di carte di credito.

Organizzazione dei dati rubati

Il database è stato descritto come una “lista dei desideri per i criminali” a causa della sua ampiezza. I record erano strutturati utilizzando una notazione di dominio inversa, creando un formato indicizzabile per vittima e sorgente. Gli hash delle righe servivano come ID documento per garantire l'assenza di voci duplicate. Inoltre, sono state trovate credenziali governative di più paesi, sollevando preoccupazioni sulle implicazioni per la sicurezza nazionale.

Rischi per la sicurezza nazionale

La presenza di login di dipendenti governativi collegati a domini .gov evidenzia rischi che vanno oltre la sicurezza individuale. Gli account governativi esposti mettono a rischio documenti personali, messaggi di recupero account e comunicazioni private. Questa violazione rappresenta potenziali minacce di spionaggio o attacchi mirati contro sistemi e personale governativo.

Come è avvenuta la violazione

Le misure di sicurezza tradizionali spesso falliscono contro i metodi utilizzati in questa violazione. A differenza degli attacchi ai server che mirano a database centralizzati, il malware infostealer raccoglie credenziali direttamente dai dispositivi infetti. Questo tipo di malware raccoglie dati tramite keylogging, scraping del browser, cattura degli appunti e furto di token di sessione. Non ci sono prove che grandi aziende come Apple, Google o Meta siano state violate a livello di server.

Tecniche di malware infostealer

  • Keylogging
  • Scraping del browser
  • Cattura degli appunti
  • Furto di token di sessione

Le operazioni di infostealer privilegiano velocità e scala rispetto alla sicurezza, spesso archiviando i dati rubati in server cloud o database configurati male, facilmente scopribili tramite scansioni internet di routine. Alcuni attaccanti sfruttano vulnerabilità OAuth per generare cookie di autenticazione persistenti, bypassando completamente le protezioni tradizionali delle password.

Misure protettive per gli utenti

Morey Haber, Chief Security Advisor di BeyondTrust, ha sottolineato che i vettori di infezione dell'infostealer includono il sideloading di applicazioni, il jailbreak e lo sfruttamento di vulnerabilità. Gli utenti possono proteggersi:

  • Scaricando app solo da fonti verificate come app store ufficiali
  • Mantenendo aggiornato il software antivirus
  • Aggiornando regolarmente i sistemi operativi

Minaccia crescente e interesse criminale

Gli attacchi infostealer sono aumentati dell'84% nel 2024, secondo l'IBM X-Force Threat Intelligence Index. Nonostante la diffusione di soluzioni di sicurezza per endpoint, il 66% delle infezioni da malware si verifica su dispositivi con tali protezioni in atto. Queste statistiche evidenziano l'alto ritorno sugli investimenti per i criminali informatici rispetto ai metodi tradizionali di crimine informatico.

Operazione in corso

Fowler ha osservato che il conteggio dei record del database violato è aumentato fino a quando il set di dati non è stato infine disattivato, suggerendo un'operazione automatizzata in corso raccolta. Tuttavia, gli utenti colpiti non sono stati prontamente avvisati, poiché è passato quasi un mese prima che il provider di hosting rispondesse alla segnalazione di Fowler. Il provider ha infine sospeso il database, ma ha indicato che l'indirizzo IP era collegato a una filiale indipendente in Canada. Il ritardo nell'azione ha permesso che ulteriori dati delle vittime venissero compromessi.

Lezioni per la sicurezza informatica futura

Gli esperti di sicurezza sottolineano la necessità di un cambiamento fondamentale nelle strategie difensive. Boris Cipot, Senior Security Engineer di Black Duck, ha evidenziato che le violazioni delle credenziali creano una “superficie di attacco a lungo termine”, richiedendo a organizzazioni e individui di adottare misure di sicurezza stratificate. Ha inoltre invitato a presumere che nomi utente e password siano sempre a rischio.

Pratiche di sicurezza consigliate

  • Utilizzare gestori di password per criptare i dati
  • Abilitare l'autenticazione a più fattori (MFA) per gli account
  • Adottare l'autenticazione passkey per una protezione avanzata contro phishing e keylogging
  • Evitare di riutilizzare le password tra i servizi
  • Cambiare regolarmente le password dopo potenziali compromissioni

Sebbene i gestori di password e l'MFA offrano una protezione sostanziale, non sono infallibili. Il malware infostealer può catturare token di sessione, contenuti degli appunti e memoria del browser, aggirando questi livelli di sicurezza. Allarmante, solo il 54% delle organizzazioni reimposta le password dopo infezioni da malware, e solo il 33% termina le sessioni attive dopo aver rilevato il furto di credenziali. Questa negligenza prolunga i danni causati dal malware infostealer molto tempo dopo l'attacco iniziale.

Risposta delle grandi aziende tecnologiche

Google ha confermato di essere a conoscenza del set di dati, descrivendolo come un'aggregazione di registri infostealer raccolti nel tempo da dispositivi personali tramite malware di terze parti. L'azienda ha chiarito che non si trattava di una nuova violazione dei suoi sistemi. Google ha dichiarato di monitorare costantemente tali attività, impiegando protezioni automatizzate per bloccare gli account e forzare la reimpostazione delle password quando vengono identificate credenziali esposte. Apple e Meta non hanno commentato pubblicamente l'esposizione.

Affrontare il problema alla radice

Nonostante il database violato sia stato disattivato, il problema di fondo rimane irrisolto per gli utenti colpiti. Molte password rubate rimangono valide e in uso, presentando rischi continui. Gli utenti sono invitati a cambiare le password di qualsiasi account potenzialmente compromesso, soprattutto se riutilizzano le password su più piattaforme. Inoltre, abilitare l'autenticazione a più fattori e adottare l'autenticazione passkey offre difese più solide contro il furto di credenziali.

Conclusione

Questo incidente sottolinea la natura persistente ed evolutiva delle minacce alla sicurezza informatica. La combinazione di credenziali di social media, finanziarie e governative in un unico database amplifica i rischi per gli utenti colpiti. Organizzazioni e individui devono adottare pratiche di sicurezza robuste, presumere che le credenziali siano sempre a rischio e implementare difese stratificate per mitigare l'impatto delle violazioni future.

Prodotti consigliati
articoli CorrelatiDi Più
Microsoft ridisegna Copilot come un livello di flusso di lavoro più silenzioso e coordinato su Microsoft 365Microsoft Conferma il Bug Classico di Rendering delle Immagini in OutlookMicrosoft Abbandona i Codici SMS per Spingere le Chiavi di AccessoMicrosoft Maggio 2026 Patch Tuesday Risolve 120 Vulnerabilità, Nessun Zero-DayMicrosoft Semplifica l'Accesso a Copilot nelle App di OfficeMicrosoft lancia la modalità Copilot Agent in OutlookMicrosoft aprile 2026 Patch Tuesday risolve 167 vulnerabilità, 2 zero-dayClaude per Word porta la revisione di contratti legali con IA su Microsoft OfficeOffice.eu lanciato come alternativa sovrana europea a Microsoft 365Satya Nadella attribuisce a Intel e Apple il merito dell'ascesa di Microsoft
Chat dal vivo
0