C’è un luogo, sotto le fondamenta del web, dove i dati non muoiono mai. E in quel luogo, da qualche settimana, stanno circolando 16 miliardi di credenziali compromesse. Una cifra che non solo sfida la credibilità statistica, ma scardina ogni logica precedente sulle fughe di dati. Non si tratta di un remix del solito “combo leak” con LinkedIn, Dropbox o Yahoo. No. Stavolta i database erano sconosciuti. E questo è molto, molto peggio.

Un leak del genere è come trovare un archivio segreto della Stasi in un caveau di Amazon: perfettamente organizzato, catalogato, pronto per essere utilizzato da chiunque parli fluentemente Python e abbia accesso a un marketplace del dark web.

Secondo Cybernews, solo un blocco da 184 milioni di record era già noto. Tutti gli altri dataset – ben 30 pacchetti distinti – non erano mai stati segnalati prima. E qui comincia il problema. Se nessuno li ha mai visti, allora non esistono contromisure già attive. Nessuna segnalazione. Nessun alert. Nessuna difesa.

Ma cosa c’era davvero dentro quei database?

Le ipotesi più ragionevoli, basate su analisi forensi condotte su sample limitati, sono tutt’altro che rassicuranti. I file sembrano il frutto di raccolte automatizzate attraverso malware infostealer, diffusi su larga scala tramite torrent, plugin contraffatti, campagne di malspam. La struttura dei dump suggerisce una cosa precisa: non sono solo password, ma istantanee digitali delle nostre vite.

Alcuni batch analizzati contengono stringhe con URL specifici, token di sessione, cookie attivi, fingerprint di browser, coordinate IP, timestamp, persino nomi delle cartelle locali e path di file. In pratica, non solo cosa usi, ma anche come e quando lo fai. Un tesoro d’oro per chiunque voglia realizzare attacchi di impersonificazione perfetti. Oppure solo venderti a pezzi, come avviene ogni giorno su BreachForums, dopo la resurrezione post-raid.

Il batch da 3,5 miliardi – apparentemente raccolto da utenti di lingua portoghese – rivela un’altra verità: questi dati non sono il frutto di un’unica compromissione, ma di anni di infezioni a bassa intensità, rimaste inosservate. È come se qualcuno avesse installato una lente d’ingrandimento su milioni di PC zombie, raccogliendo tutto in silenzio.

Tra le voci non confermate – ma molto plausibili – circola l’idea che alcuni pacchetti includano:

  • Credenziali di VPN aziendali, utilizzate per l’accesso remoto durante lo smart working
  • Accessi Telegram, con token che permettono di dirottare interi canali
  • Account cPanel, per attacchi supply chain contro hosting condivisi
  • Wallet crypto, in particolare MetaMask e Phantom, agganciati via browser
  • Portali amministrativi locali, inclusi pannelli scolastici, sanitari e pubbliche amministrazioni minori

Non mancano gli esempi surreali: account per gestionali di condominio, software gestionali per cliniche odontoiatriche in Brasile, backend per app religiose evangeliche in Sudafrica. Tutti dati che, presi da soli, non fanno paura. Ma uniti, mostrano una cosa: nessun dato è troppo insignificante per essere rubato.

Il vero orrore, però, non è nella quantità, ma nell’anonimato. Questi database non hanno padri noti, e quindi nessuno sa chi informare, chi contattare, cosa chiudere. I sistemi di monitoraggio – anche i più avanzati – si basano su fingerprint storici. Ma se il leak non ha precedenti, l’informazione non si propaga. E restiamo ciechi.

“Sembra il colpo di stato dei dati. Non c’è nemmeno un governo a cui fare appello.”

Intanto gli utenti – quelli normali, quelli che usano la stessa password da 9 anni – non sapranno mai se sono coinvolti. Perché nessuno ha ancora caricato questi dati nei servizi di controllo pubblico. E magari non lo faranno mai, per motivi legali. Il risultato? Una parte del web è diventata improvvisamente trasparente per chi ha pagato in Bitcoin, mentre noi continuiamo a vivere nella nebbia.

Nessun alert. Nessuna email di “notifica violazione”. Solo silenzio.

Eppure, se osserviamo la direzione, è chiaro dove stiamo andando: verso una profilazione criminale automatica, dove ogni leak non è una fine, ma l’inizio di una campagna. Gli attacchi APT del prossimo trimestre? Probabilmente stanno già nascendo in questi dump.

E no, non possiamo semplicemente “cambiare la password”. Perché questi dati non sono solo le chiavi, ma anche le mappe delle nostre case digitali.

In questo momento, c’è chi possiede più informazioni su di te di quanto tu stesso abbia mai messo insieme. E non ha alcuna intenzione di dimenticarle.

Non è paranoia. È semplicemente il mercato.