Nei giorni scorsi è emerso un dato allarmante, un archivio contenente oltre 16 miliardi di credenziali rubate è apparso online. Al suo interno ci sono tracce evidenti di account associati a Google, Apple, Meta, Telegram, GitHub e perfino servizi governativi.
Ma facciamo subito chiarezza, non si tratta di un attacco diretto ai colossi digitali. È qualcosa di molto più subdolo. Questa collezione è il risultato di anni di violazioni, malware e furti silenziosi. Un puzzle formato da frammenti sparsi, ora ricomposto in un archivio facilmente scaricabile da chiunque se lo trovi tra le mani.
 |
| Uno screenshot censurato del database in questione. |
E questo è il vero problema, la facilità con cui queste informazioni possono essere usate oggi, perché il furto non è più rumoroso ed eclatante. È diventato silenzioso, sistematico, organizzato.
“Have I Been Pwned” come scoprire se le tue credenziali sono già state rubateUno degli strumenti più affidabili e veloci per verificare se le tue credenziali sono finite in una fuga di dati è il sito haveibeenpwned.com. Creato dal ricercatore Troy Hunt, raccoglie miliardi di dati violati da servizi come LinkedIn, Adobe, Dropbox, Facebook, e molti altri.
Usarlo è semplice, inserisci la tua email e premi “pwned?”. Se compare in uno o più leak, il sito ti mostrerà da dove proviene la violazione, cosa è stato esposto (email, password, IP, ecc.) e quando è successo. È del tutto sicuro, non raccoglie né conserva i tuoi dati personali e funziona anche in modalità anonima se vuoi controllare se una password specifica è compromessa.
Infostealers: la nuova frontiera del furto invisibile
Dietro questo gigantesco archivio ci sono i cosiddetti infostealers, malware che si infiltrano nei dispositivi (spesso attraverso link, estensioni browser o app infette) e rubano direttamente tutto quello che trovano, username, password, cookie, token di accesso e perfino le sessioni ancora attive nei browser.
Non parliamo più di hacker che tentano di forzare una porta blindata, ma di ladri che entrano dalla finestra aperta, rubano le chiavi di casa e si siedono sul divano con il tuo account Google.
Il dettaglio inquietante? Non hanno nemmeno bisogno della tua password, perché grazie ai token di sessione possono accedere come se fossi tu, anche se cambi le credenziali.
Password vecchie, errori recenti
Alcuni diranno: “Sì, ma molti di questi dati sono duplicati, roba vecchia.” E in parte è vero. Ma il problema non sta solo nella “datazione” della password, quanto nella nostra abitudine malsana a riutilizzare sempre la stessa.
Se una tua password del 2018 è la stessa che usi oggi su Gmail, beh… non è affatto vecchia per chi vuole rubartela. I cybercriminali lo sanno e infatti automatizzano questi tentativi con attacchi di “credential stuffing”, provando in serie combinazioni già note per vedere se funzionano ancora. Spesso con esito positivo.
Passkey: una porta chiusa (realmente)
In tutto questo marasma, si fa strada una nuova speranza tecnologica, le passkey. Non sono password. Sono chiavi crittografiche uniche, legate al tuo dispositivo e spesso protette da riconoscimento biometrico.
Con una passkey, non c’è nulla che possa essere “rubato” in senso tradizionale, non la scrivi, non la invii, non la memorizzi sul browser. È come se ti autenticassi con il tuo volto o la tua impronta digitale e basta.
E la cosa più interessante? Le grandi piattaforme, da Google a Apple, stanno spingendo per abbandonare definitivamente le password. Perché, per quanto lunghe e complesse, sono sempre un compromesso. La passkey, invece, è un salto di paradigma.
Quello che puoi fare adesso (e perché dovresti farlo subito)
Molti si ripetono frasi come: “non ho niente da nascondere”, oppure “chi vuoi che si interessi a me?”. Ma la verità è che le violazioni non mirano a te come individuo, mirano al tuo profilo come strumento. Il tuo account può essere usato per spam, truffe, riciclaggio o perfino per compromettere altri.
Ecco cosa puoi fare oggi stesso per proteggerti:
- Controlla se le tue credenziali sono esposte. Siti come haveibeenpwned.com ti permettono di verificare in pochi secondi se la tua email è comparsa in qualche leak (come spiegato all'inizio).
- Usa un password manager. Ti sembrerà macchinoso all'inizio, ma dopo pochi giorni non potrai farne a meno. Ti crea password uniche, le memorizza, ti avvisa se una è stata compromessa.
- Attiva l’autenticazione a due fattori (2FA). Fallo ovunque possibile. Preferisci le app come Authy o Google Authenticator agli SMS.
- Passa alle passkey se il servizio le supporta. Sì, funziona anche su smartphone, e sì, è molto più sicuro.
- Non cliccare mai su link strani, nemmeno se arrivano da amici. Gli infostealers spesso entrano proprio così.
Conclusione
Questa fuga di dati non rappresenta solo un fatto tecnico. È uno specchio della fragilità del nostro rapporto con il digitale. Ci affidiamo a servizi online per ogni cosa, dalla posta ai documenti sanitari, dalla banca alla messaggistica privata, ma spesso lo facciamo con una superficialità sconcertante.
Abbiamo lasciato che la sicurezza diventasse un optional, qualcosa che “sì, prima o poi farò”. Ma non possiamo più permettercelo. Chi commette crimini informatici non ha nemmeno bisogno di attaccarti se sei tu stesso che, senza saperlo, gli apri la porta.
Forse è il momento giusto per chiudere quella porta. O meglio, per cambiarne proprio la serratura.