Avete presente quel incubo digitale in cui tutti i vostri segreti online vengono sputati in rete? Ecco, è realtà: 16 MILIARDI di password rubate stanno girando come regali di Natale per hacker, superando il mega-disastro di RockYou2024. Cybernews ha scovato 30 archivi colmi di milioni (o miliardi) di record "freschi", mai visti prima. Roba che fa tremare i polsi – e forse anche qualche CEO tech, che di sicuro non ammetterà la colpa. #LeakEnormE #PasswordRubate #SicurezzaFallita
Ma non si tratta di un banale furto isolato, oh no: è una strategia diabolica con infostealer, quei malware che rubano le vostre credenziali da dispositivi infettati, pronti per servizi come Apple, Facebook, Google, GitHub, Telegram e perfino siti governativi. I ricercatori avvertono che questa roba è ovunque, e la diffusione è capillare come una pandemia digitale. Dite addio alle password deboli, gente – è ora di passkey, antivirus seri e autenticazione a due fattori, altrimenti siete carne da cannone per i cybercriminali.
La gravità di questa marea di 16 miliardi di record è da capogiro: derivano da credential stuffing, vecchi leak riciclati e soprattutto infostealer, che raccolgono username, password e persino cookie di sessione in pacchetti perfetti per attacchi letali. Questi non sono leak caotici, ma elenchi precisi che bypassano pure l’autenticazione a due fattori. Come ha spiegato Aras Nazarovas, uno dei ricercatori, "Questi cookie possono spesso essere utilizzati per aggirare i metodi di 2FA e non tutti i servizi resettano questi cookie dopo aver cambiato la password dell’account. La cosa migliore in questo caso è cambiare le passwords, attivare il 2FA, se non è ancora abilitato, monitorare attentamente i propri account e contattare l’assistenza clienti se vengono rilevate attività sospette."
L’origine? Misteriosa come un thriller, con archivi tipo Elasticsearch lasciati aperti come porte scassate da cybergang che li rivendono o usano per attacchi reali: phishing, furto d’identità, BEC e ransomware che bloccano i vostri device chiedendo riscatti. Pensateci: anche solo l’1–2% di successo su 16 miliardi significa milioni di vittime – e scommetto che qualche burocrate sta sudando freddo.
I servizi colpiti? Tutto quanto: social, messaggistica, cloud e tool per developer. C’è roba nominata "login" o "credenziali", con archivi da 455 milioni legati alla Federazione Russa e uno da 60 milioni per Telegram. L’impatto è un casino, con duplicati ovunque, trasformando questo in un’economia sotterranea dove i dati rubati sono la nuova valuta. Meglio svegliarsi, prima che i vostri account finiscano in mani sbagliate.
Dietro tutto ciò, sembra che i cattivi del web stiano evolvendo: anziché spammare su Telegram, ora centralizzano i dati in modo "efficiente", come una fabbrica del male. E voi, cosa fate? Usate password manager per crearne di complesse, aggiornatele spesso, attivate il 2FA e monitorate i device per evitare infostealer. Tenete gli occhi aperti online, perché in questo mondo digitale, la paranoia è l’unico antivirus affidabile!
