Il database di riferimento per la sicurezza online, gestito dall’esperto Troy Hunt, si espande drasticamente. Le nuove credenziali provengono in gran parte da “stealer logs”, malware che sottraggono dati direttamente dai dispositivi degli utenti. Ecco cosa rischiamo e come proteggersi.

È una cifra che fa tremare i polsi a qualsiasi responsabile della sicurezza informatica, ma che dovrebbe preoccupare soprattutto il cittadino comune: un miliardo. A tanto ammonta il numero di nuove password compromesse che sono state appena aggiunte al database di Have I Been Pwned (HIBP), il servizio globale creato dal ricercatore di sicurezza Troy Hunt che permette agli utenti di verificare se i propri dati sono finiti nelle mani dei criminali informatici.

L’anatomia del “Mega-Leak”

L’aggiornamento non è frutto di un singolo attacco informatico a un’azienda specifica (come poteva essere in passato per Yahoo o LinkedIn), ma è il risultato di una massiccia aggregazione di dati provenienti da diverse fonti illecite. In particolare, una porzione significativa di queste nuove password proviene dai cosiddetti “Stealer Logs”.

A differenza dei classici data breach (dove gli hacker attaccano i server di un’azienda), gli info-stealer sono malware che infettano direttamente i computer e gli smartphone degli utenti. Una volta installati – spesso tramite software piratati, allegati email ingannevoli o estensioni del browser malevole – questi programmi “aspirano” tutto ciò che è salvato nel dispositivo: cookie di sessione, dati delle carte di credito e, naturalmente, le password salvate nei browser.

Perché questo aggiornamento è diverso

Troy Hunt ha spiegato che questo massiccio inserimento nel servizio “Pwned Passwords” include credenziali che non erano mai state viste prima in precedenti violazioni.

“Non stiamo parlando solo di vecchie password riciclate,” spiegano gli esperti di sicurezza. “Molte di queste combinazioni provengono da infezioni recenti. Ciò significa che sono password ancora attive, utilizzate oggi per accedere a conti bancari, social network, email aziendali e piattaforme di streaming.”

Il totale delle password uniche presenti nel database di HIBP sale così a cifre astronomiche, rendendo il servizio uno strumento ancora più cruciale per le aziende che vogliono impedire ai propri dipendenti di utilizzare chiavi di accesso già note agli hacker.

Il pericolo numero uno: Credential Stuffing

L’immissione di un miliardo di nuove password nel “circolo pubblico” del Dark Web (e ora nel database difensivo di HIBP) alimenta il fenomeno del Credential Stuffing.

Poiché la maggior parte degli utenti commette l’errore di riutilizzare la stessa password su più siti (ad esempio, usando la stessa chiave per Netflix, Facebook e la propria email professionale), agli hacker basta trovare una corrispondenza in questo database per tentare l’accesso a tutti gli altri servizi digitali della vittima. È un attacco automatizzato: i bot provano milioni di combinazioni email/password rubate su centinaia di siti web legittimi fino a quando non trovano una “porta aperta”.

Come verificare la propria sicurezza

Di fronte a questa minaccia, l’azione immediata è fondamentale. Ecco i passaggi consigliati dagli esperti:

1. Il controllo su Have I Been Pwned: Visitare il sito haveibeenpwned.com è il primo passo. Inserendo la propria email, si può scoprire se è apparsa in qualche violazione.

2. Pwned Passwords: Esiste una sezione specifica del sito che permette di cercare (in modo sicuro e anonimizzato) se una specifica password è stata compromessa. Se la vostra password appare nel database, va cambiata immediatamente ovunque sia stata utilizzata.

3. L’importanza del Password Manager: È umanamente impossibile ricordare password complesse e diverse per ogni sito. L’utilizzo di un Password Manager (come Bitwarden, 1Password o i gestori integrati di Apple e Google) è oggi imprescindibile.

4. Autenticazione a due fattori (2FA): Anche se un hacker possiede la vostra password, la 2FA (il codice che arriva via SMS o app) rappresenta l’ultimo baluardo di difesa. Attivela su ogni servizio che la supporta.

La fine della password tradizionale?

Questo ennesimo incidente dimostra la fragilità del sistema basato su password. Mentre le grandi aziende tecnologiche spingono verso l’adozione delle Passkeys (sistemi di accesso basati su biometria e crittografia che non richiedono la digitazione di codici), la realtà attuale vede ancora miliardi di caratteri alfanumerici come unica barriera tra i nostri dati privati e il crimine organizzato.

L’aggiornamento di HIBP è un promemoria brutale: nel 2026, la nostra identità digitale è al sicuro solo quanto la nostra password più debole.