Un archivio informatico contenente oltre 184 milioni di credenziali è rimasto completamente esposto online, senza protezione né crittografia. Tra le vittime illustri: Apple, Google, Facebook, PayPal, Microsoft e non solo.
A riportarlo è il ricercatore di sicurezza Jeremiah Fowler, che ha individuato questo enorme archivio su un comune server di web hosting, accessibile da chiunque, senza password né firewall. E non si tratta di una teoria: tra le informazioni esposte ci sono indirizzi email, username e password in chiaro, pronti per essere utilizzati da qualsiasi malintenzionato. Un vero e proprio paradiso per i cybercriminali, come l’ha definito lo stesso Fowler.
Secondo quanto emerso dalle analisi iniziali, il database conteneva la bellezza di 184.162.718 combinazioni uniche di login e password, per un totale di oltre 47 GB di dati grezzi. Un numero impressionante, che comprende account di servizi come:
- Apple ID
- Amazon
- Microsoft
- PayPal
- Snapchat
- Discord
- WordPress
- Yahoo
E non è finita: tra i dati esposti ci sono anche credenziali di portali governativi, servizi bancari, piattaforme sanitarie e altre applicazioni sensibili.
Fowler ipotizza che la raccolta sia avvenuta tramite infostealer, una categoria di malware sempre più diffusa che si insinua nei dispositivi per rubare informazioni personali: login memorizzati nei browser, dati di riempimento automatico, cookie, credenziali di email e app di messaggistica, persino portafogli di criptovalute.
Gli infostealer si diffondono soprattutto attraverso email di phishing e software piratati. Una volta installati, iniziano a rastrellare ogni dato utile salvato nei dispositivi delle vittime. Alcune varianti sono persino in grado di registrare screenshot o tenere traccia dei tasti premuti.
Uno dei pericoli più grandi è legato agli account email, spesso sottovalutati dagli utenti. Molte persone li trattano come veri e propri archivi personali, salvandovi documenti delicati: dichiarazioni dei redditi, referti medici, contratti e anche liste di password.
Fowler sottolinea come, una volta che un criminale informatico ottiene accesso a un’email, abbia tra le mani un archivio di vita privata potenzialmente illimitato. Per questo è fondamentale ripulire regolarmente la casella di posta, eliminando documenti sensibili e attivando sistemi di sicurezza come autenticazione a due fattori e password manager affidabili.
Dopo la segnalazione di Fowler, l’hosting provider ha bloccato l’accesso al database, ma non ha fornito alcuna informazione sull’identità del proprietario. E, soprattutto, non è dato sapere per quanto tempo quel contenuto sia rimasto pubblico né se qualcuno lo abbia già scaricato.
Fowler ha confermato di non aver effettuato il download completo del database per motivi etici, ma ha utilizzato screenshot per contattare alcune vittime e verificare l’autenticità dei dati.