24 miliardi di password in un Elasticsearch aperto

01.07.2026 5
24 miliardi di password in un Elasticsearch aperto

I ricercatori di Cybernews hanno scoperto un server Elasticsearch aperto contenente 8,3 terabyte di credenziali rubate - circa 24 miliardi di record provenienti da 36 fonti distinte. Il dataset, trovato alla fine di giugno 2026, combina log recenti di infostealer, canali Telegram che commerciano numeri di carta rubati ed esportazioni dirette da database aziendali compromessi. Una parte significativa dei record proveniva da server attivi al momento della raccolta. Le credenziali di account VPN, le coppie di accesso SaaS e le password bancarie sono presenti in tutto il dataset.

Cosa e stato trovato e da dove proviene

Il malware infostealer e una categoria di software che estrae silenziosamente le password salvate nel browser, i cookie di sessione, i dati di compilazione automatica e i file dei portafogli crypto dalle macchine infette. Una volta installato - tipicamente tramite e-mail di phishing, software craccato o estensioni browser dannose - un infostealer trasmette tutto cio che trova a un server di comando e controllo in pochi secondi. L'operatore vende quindi i log risultanti su canali Telegram o mercati del dark web.

Il dataset di Cybernews aggrega 36 di queste fonti in un unico indice ricercabile. I 24 miliardi includono duplicati, ma i ricercatori hanno identificato una quota sostanziale di coppie di credenziali uniche - indirizzi e-mail abbinati a password in chiaro o con hash deboli. La presenza di esportazioni da server live suggerisce che parte dei dati era attuale al momento dell'indicizzazione.

Distinzione fondamentale: Non si tratta di una violazione classica in cui e stato rubato il database di una singola azienda. I log degli infostealer contengono credenziali catturate direttamente da dispositivi infetti, ovvero le password che l'utente ha inserito attivamente o salvato nel browser, spesso aggiornate al momento del furto.

Perche i dati degli infostealer sono piu pericolosi delle violazioni standard

In una violazione di dati convenzionale, gli aggressori rubano il database di un'azienda. Queste credenziali sono tipicamente con hash, possono avere mesi o anni e rappresentano cio che gli utenti hanno inserito al momento della registrazione. Il gruppo ShinyHunters ha esposto 455.000 record di studenti dell'Universita di Nottingham tramite questo modello: nomi, e-mail e password con hash da una singola istituzione.

I dati degli infostealer funzionano diversamente. Il malware cattura le password mentre vengono digitate o recuperate dall'archivio password del browser. Il risultato e una coppia nome utente-password in chiaro, aggiornata alla data dell'infezione. Non c'e nessun hash da decifrare. L'incidente Fortibleed ha esposto 86.000 credenziali VPN Fortinet in chiaro tramite un meccanismo simile: compromissione del dispositivo anziche furto del database.

Cio significa che anche se avete sempre usato password forti e uniche, un'infezione da infostealer su uno qualsiasi dei vostri dispositivi puo esporre tutte le credenziali salvate nel browser in quel momento. La solidita della password e irrilevante se viene catturata prima che avvenga qualsiasi crittografia.

Come verificare se le tue credenziali sono nel dataset

Diversi servizi permettono di verificare se il tuo indirizzo e-mail o password specifiche sono comparse in database di violazioni note. Nessuno di questi servizi richiede di inserire la password reale: utilizzano tutti tecniche crittografiche per verificare solo rispetto a versioni con hash.

  • Have I Been Pwned: Il servizio gratuito piu consolidato. Inserisci la tua e-mail per vedere in quali violazioni e comparsa, oppure controlla singole password tramite hashing k-anonimato: la password completa non viene mai trasmessa. Il sito ora ha una categoria specifica "Stealer Logs" per le credenziali ottenute tramite infostealer.
  • Cybernews Personal Data Leak Checker: Gestito dagli stessi ricercatori che hanno trovato questo dataset. Controlla la tua e-mail nel loro database accumulato di record trapelati, incluso il set da 24 miliardi descritto in questo articolo.
  • Firefox Monitor: Il servizio gratuito di Mozilla, basato sui dati di Have I Been Pwned. Fornisce monitoraggio continuo: ti avvisa via e-mail se il tuo indirizzo compare in future violazioni.
  • Google Password Checkup: Se salvi le password in Chrome, Google le confronta con coppie di credenziali compromesse note e ti avvisa delle corrispondenze nella sezione Controllo sicurezza. Le tue password in chiaro non vengono trasmesse ai server di Google.
Cosa questi strumenti non possono dire: se la tua password e stata catturata da un infostealer prima che questo dataset venisse indicizzato. Se il tuo dispositivo e stato compromesso, le credenziali potrebbero circolare in canali Telegram privati o mercati chiusi non ancora presenti in nessun database pubblico. Un risultato pulito oggi non garantisce sicurezza da un'infezione avvenuta sei mesi fa.

Cosa fare se i tuoi dati vengono trovati

Se uno dei servizi sopra indica una corrispondenza con la tua e-mail o le tue password, la risposta deve essere immediata e sistematica:

  1. Cambia subito la password esposta sul servizio interessato. Se hai usato la stessa password altrove, cambiala su ogni altro servizio.
  2. Attiva l'autenticazione a due fattori (2FA) su ogni account che la supporta. Anche se un aggressore ha la password corretta, un codice TOTP o una chiave hardware impedisce l'accesso. Le app di autenticazione (Google Authenticator, Authy, Aegis) sono piu solide della 2FA via SMS.
  3. Adotta un gestore di password che generi password uniche e casuali per ogni servizio. Se non riutilizzi le password, una singola compromissione e contenuta a un account. Bitwarden, 1Password e KeePassXC sono opzioni consolidate.
  4. Controlla i tuoi dispositivi per infezioni da infostealer. Se una password e stata catturata da malware anziche rubata dal database di un'azienda, cambiare la password non rimuove il malware. Esegui una scansione completa con un antivirus aggiornato.
  5. Revoca le sessioni attive sugli account critici (e-mail, banca, archiviazione cloud). La maggior parte delle piattaforme offre un'opzione "Disconnetti tutte le altre sessioni" nelle impostazioni di sicurezza.

Cosa protegge davvero i tuoi account

Una VPN crittografa il traffico Internet e impedisce l'intercettazione a livello di rete. Non protegge contro il malware infostealer, che opera interamente sul dispositivo prima che i dati raggiungano la rete. La violazione Carnival Cruises ha esposto i dati del passaporto di 6 milioni di viaggiatori tramite compromissione lato server - un vettore di attacco diverso, ma con le stesse conseguenze pratiche per le vittime.

La difesa multilivello piu efficace contro il furto di credenziali combina: un gestore di password che genera credenziali uniche per servizio, 2FA hardware o app su ogni account che la supporta, e controlli regolari nei database delle violazioni. Una VPN aggiunge protezione a livello di rete, ma non puo compensare password riutilizzate o dispositivi infetti.

Checklist rapida: (1) Controlla i tuoi indirizzi principali su haveibeenpwned.com. (2) In caso di corrispondenza, cambia la password ovunque la usavi. (3) Attiva la 2FA su e-mail, banca e archiviazione cloud. (4) Installa un gestore di password e smetti di riutilizzarle. (5) Scansiona i tuoi dispositivi per malware.
Tag: privacy cybersecurity security data breach data protection internet security vpn

Leggi anche