I ricercatori hanno rivelato che oltre 16 miliardi di credenziali di accesso provenienti da piattaforme come Apple, Facebook e Google sono state trapelate in una delle più grandi violazioni di dati mai registrate. Dall’inizio del 2025, le indagini sulla fuga di dati hanno portato alla luce 30 set di dati compromessi, ciascuno contenente da decine di milioni a oltre 3,5 miliardi di record. In totale, i dati compromessi ammontano a 16 miliardi di record.
Questi set di dati comprendono miliardi di credenziali di accesso provenienti da social media, reti private virtuali (VPN), portali per sviluppatori e account utente di tutti i principali fornitori. I ricercatori hanno scoperto che la maggior parte delle informazioni esposte era strutturata in un formato costituito da un URL, seguito da credenziali di accesso e da una password. Queste credenziali vengono utilizzate per vari servizi online, tra cui quelli di Apple, Facebook, Google, GitHub, Telegram e numerosi servizi governativi.
Fughe di dati di questo livello possono dare origine a diverse minacce informatiche, come phishing, furto di account, attacchi ransomware e truffe BEC (Business Email Compromise), con l’FBI che mette in guardia dai link sospetti inviati tramite messaggi SMS.
Gli esperti di tecnologia e sicurezza sottolineano l’importanza di investire in soluzioni di gestione delle password e strumenti di monitoraggio del dark web. È fondamentale adottare le pratiche di sicurezza informatica di base, come evitare il riutilizzo delle password su più siti.
La protezione delle credenziali è una responsabilità condivisa: le organizzazioni devono tutelare gli utenti, ma anche i singoli individui devono restare vigili contro i tentativi di furto delle informazioni di accesso.
Sono preferibili metodi di autenticazione più sicuri e senza password, come la passkey. Strumenti come un gestore di password possono aiutare a generare password complesse e univoche, memorizzarle in modo sicuro e avvisare gli utenti in caso di violazione.
Questa violazione dei dati segue un’analoga violazione avvenuta nel maggio 2025 , quando i ricercatori hanno scoperto un database online con oltre 184 milioni di credenziali di account di Google, Microsoft, Facebook, Instagram e altre importanti piattaforme.
Questo precedente rapporto aveva rivelato che nomi utente, password, indirizzi e-mail e URL di varie app e siti web di social media erano archiviati in un file, insieme alle credenziali degli utenti per conti bancari e finanziari, piattaforme sanitarie e portali governativi.
