Il più grande furto di password di sempre: 16 miliardi di account a rischio. Ecco cosa fare

Un gruppo di ricercatori di Cybernews (un media indipendente specializzato in sicurezza informatica) ha scoperto quella che potrebbe essere la più grande fuga di dati mai registrata nella storia del web: oltre 16 miliardi di credenziali di accesso – compresi username e password – sarebbero state raccolte e diffuse online in una serie di database mai visti prima, accessibili nel dark web e utilizzabili per attacchi informatici su vasta scala. Molte delle credenziali rubate sarebbero relative a profili Google, Facebook e Apple, ma va precisato che non sono state rubate direttamente a questi colossi tecnologici: il furto è avvenuto direttamente sui dispositivi degli utenti attraverso un malware.

Non si tratta di un attacco mirato ad Apple, Google o Facebook 

Le credenziali rubate provengono da una miriade di servizi online, tra cui piattaforme molto popolari come Apple, Google, Facebook, GitHub, Telegram e persino portali governativi. Tuttavia, non c’è stato un attacco diretto a questi colossi: i dati sono stati sottratti tramite malware infostealer, programmi che si insinuano nei dispositivi degli utenti per intercettare le credenziali memorizzate nel browser o digitate manualmente quando si accede a un sito che le richiede. 

Non si tratterebbe di vecchi dati violati e riciclati, ma di dati nuovi, ottenuti da malware attivi nel 2024 e nei primi mesi del 2025. Un campanello d’allarme serio, perché si tratta di informazioni ancora valide e sfruttabili per phishing, furti di identità e accessi non autorizzati. Qui una guida su come riconoscere queste truffe informatiche.

Come capire se sei coinvolto e cosa puoi fare subito 

Anche se non c’è un elenco pubblico dei nomi utente coinvolti, è probabile che anche tantissimi utenti italiani siano interessati. Soprattutto chi: 

• ha riutilizzato le stesse password su più servizi; 

• non ha mai attivato l’autenticazione a due fattori; 

• ha salvato le credenziali nel browser senza un gestore sicuro.

Cosa fare: i consigli di Altroconsumo 

• Cambia le password di accesso dei tuoi account principali e fallo periodicamente (email, social, home banking); 

• attiva l’autenticazione a due fattori su tutti i servizi che la offrono; 

• utilizza un gestore di password sicuro per generare e conservare credenziali complesse; 

• ove possibile, considera di passare ai passkey, una tecnologia più sicura che sostituisce le password con autenticazione biometrica (impronta, volto) o tramite Pin locale; 

• se ti accorgi di avere avuto problemi, ti consigliamo di presentare il tuo reclamo attraverso la nostra piattaforma Reclama Facile;  

• spesso le informazioni violate sono usate da terzi malfattori per fare truffe su carte e conti. Controlla gli estratti conto e i movimenti delle tue carte e dei tuoi conti. Se trovi qualcosa di sospetto e utilizzi fraudolenti blocca subito conto e/o carte e chiedi il rimborso alla banca o all’emittente. In caso di problemi puoi fare un reclamo per iscritto usando il nostro modulo di reclamo che trovi qui.

Cosa sono i passkey e perché tutti ne parlano 

I passkey sono un sistema di accesso senza password che sfrutta l’autenticazione biometrica o dispositivi attendibili (come lo smartphone) per garantire la sicurezza. A differenza delle password, non possono essere intercettati o rubati via malware, perché non vengono mai trasmessi in rete. 

Oggi i principali servizi come Apple, Google e Facebook consentono già l’uso dei passkey. In futuro, questa tecnologia potrebbe diventare lo standard per tutti i servizi online.