Online 16 miliardi di password, vecchi data breach

Online 16 miliardi di password, vecchi data breach

Circa 16 miliardi di password sono finite online, ma si tratta di una raccolta di credenziali rubate durante precedenti attacchi informatici.
Online 16 miliardi di password, vecchi data breach
Circa 16 miliardi di password sono finite online, ma si tratta di una raccolta di credenziali rubate durante precedenti attacchi informatici.

I ricercatori di Cybernews hanno scoperto una compilation di circa 16 miliardi di credenziali che permettono di accedere agli account di numerosi servizi online. Come evidenziato da Bleeping Computer non è tuttavia un nuovo data breach, ma la raccolta di credenziali rubate durante precedenti attacchi. Ciò conferma tuttavia la necessità di adottare metodi di autenticazione più sicuri.

Usare password robuste, 2FA e passkey

Non è quindi avvenuto nessun data breach recente. Le credenziali trovate online circolano da diversi anni e sono state raccolte in 30 dataset da ricercatori, società di sicurezza informatica e cybercriminali. Alcuni dataset contengono oltre 3,5 miliardi di credenziali. In totale sono circa 16 miliardi. Provengono da vari account, tra cui Facebook, Apple, Google, GitHub e Telegram.

Secondo Bleeping Computer sono state rubate tramite infostealer e attacchi di credential stuffing. Un infostealer viene sfruttato principalmente per accedere alle password memorizzate nel browser. Il malware crea su disco una serie di archivi con vari file di testo, in ognuno dei quali ci sono righe con URL, username e password. Le credenziali vengono quindi inviate al server controllato dai cybercriminali.

Spesso i dataset sono messi in vendita, ma in alcuni casi vengono distribuiti gratuitamente su Telegram, Pastebin e Discord (soprattutto se sono di scarso valore). La divulgazione di questi enormi archivi di credenziali conferma che non vengono adottate le minime protezioni.

Gli utenti devono usare password robuste e uniche (non riciclate per più servizi), memorizzare le credenziali in un password manager e attivare l’autenticazione in due fattori (2FA), evitando l’invio dei codici via SMS. La soluzione migliore è utilizzare le passkey. Il noto sito Have I Been Pwned permette di verificare se le credenziali sono state compromesse.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
20 giu 2025
Link copiato negli appunti