Miliardi di dati e password online: perché sei ancora in pericolo

Un nuovo database non protetto, con dentro una quantità enorme di password, indirizzi email e numeri di previdenza sociale, riporta al centro un tema che tendiamo a rimuovere: i vecchi data breach non smettono di fare danni solo perché passano gli anni. In questo caso, i ricercatori parlano di miliardi di record grezzi, frutto di un collage di violazioni accumulate in circa dieci anni.

La parte più inquietante non è tanto la dimensione del database, quanto il fatto che una quota non trascurabile dei dati sensibili risulta ancora valida e, soprattutto, non ancora sfruttata. Significa che molte persone non hanno avuto nessun segnale evidente di compromissione, pur avendo le proprie informazioni personali in chiaro, pronte per essere usate.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

A individuare il database esposto è stata la società di sicurezza informatica UpGuard, che ha trovato un archivio accessibile senza protezioni, con una mole di informazioni di dimensioni difficili da inquadrare. Nei record grezzi compaiono circa 3 miliardi di combinazioni di indirizzi email e password, insieme a circa 2,7 miliardi di record che includono numeri di previdenza sociale.

Queste cifre, però, includono moltissimi duplicati, quindi non corrispondono al numero reale di persone coinvolte. Analizzando un campione, i ricercatori stimano che gli inserimenti unici si collochino probabilmente nell’ordine delle decine o centinaia di milioni, una forchetta comunque enorme per un singolo archivio non protetto.

Per capire quanto fossero affidabili questi dati, UpGuard ha contattato un campione di persone presenti nel database. Dal processo di verifica è emerso che circa un quarto dei numeri di previdenza sociale risulta corretto, un dato che rende il problema tutt’altro che teorico.

Secondo i ricercatori, una parte consistente delle informazioni deriva da una maxi-fuga di dati risalente al 2024, che avrebbe coinvolto circa 2,7 miliardi di record. All’epoca si era ipotizzato che quel pacchetto includesse dati personali sensibili di praticamente ogni residente di Stati Uniti, Regno Unito e Canada.

Nel nuovo archivio, però, non compaiono solo dati recenti. Una porzione rilevante del contenuto sembra infatti molto più vecchia, e gli esperti hanno provato a stimarne l’epoca di origine guardando alle tendenze culturali riflesse nelle password.

È un metodo curioso ma efficace, perché i riferimenti pop diventano indizi temporali.

Analizzando la frequenza di alcuni riferimenti, come nomi collegati a One Direction, Fall Out Boy e Taylor Swift, i ricercatori hanno concluso che una parte significativa del materiale risale grossomodo al 2015 negli Stati Uniti. In pratica, il database funziona come una sorta di archivio storico di abitudini digitali, ma con conseguenze molto concrete sulla sicurezza attuale.

Di fronte a un archivio costruito con vecchie violazioni, la tentazione è di considerarlo un problema ormai superato, soprattutto se non si parla di un nuovo attacco in corso. Il direttore della ricerca di UpGuard, Greg Pollock, però, invita a non abbassare la guardia, perché anche dati di dieci anni fa possono rappresentare una minaccia attuale.

Il primo motivo è semplice: alcuni dati sensibili non cambiano mai. I numeri di previdenza sociale, per esempio, restano gli stessi per tutta la vita, quindi una volta esposti non tornano più davvero al sicuro.

Se finiscono in un grande database non protetto, restano disponibili per chiunque riesca a metterci le mani.

Il secondo motivo riguarda il concetto di sfruttamento del dato. Dalla verifica sul campione, UpGuard ha notato che molte delle identità presenti nel database risultano esposte, ma non ancora utilizzate in modo evidente da attaccanti. In pratica, il fatto di non aver subito truffe o accessi sospetti non significa che i propri dati personali non circolino già in archivi di questo tipo.

Pollock sottolinea che esistono continuamente nuove scoperte di archivi giganteschi, spesso liquidate come l’ennesimo “pacchetto di dati riciclato”. In questo caso, però, l’analisi delle singole identità mostra che per molte persone il rischio è ancora aperto, proprio perché nessuno ha ancora provato a usare quei dati per accedere a account o per operazioni di furto d’identità.

Questa vicenda ricorda che l’idea di “vecchio data breach” come problema chiuso non regge alla prova dei fatti: finché un dato statico resta valido e circola in archivi non protetti, l’esposizione continua a prescindere.

Di conseguenza, cercate di cambiare password a cadenza regolare. Prendetela come un’abitudine e non trascuratela.