I ricercatori di sicurezza informatica di Synthient hanno scoperto una raccolta di 183 milioni di password e-mail, inclusi milioni di account Gmail, esposte tramite campagne malware infostealer. I dati sono apparsi nel database Have I Been Pwned il 21 ottobre 2025, a causa del monitoraggio dei canali sotterranei, segnando una delle più grandi fughe di credenziali dell’anno. Google ha affrontato pubblicamente l’incidente, respingendo le accuse di una violazione diretta della sicurezza di Gmail. In una dichiarazione sui social media, la società ha dichiarato che “le segnalazioni di una” violazione della sicurezza di Gmail che ha colpito milioni di utenti “sono false”. I funzionari hanno sottolineato che le credenziali compromesse provenivano da infezioni malware sui dispositivi dei singoli utenti, non da alcuna vulnerabilità nell’infrastruttura del server di Gmail. Questa distinzione evidenzia come i dati siano stati raccolti attraverso minacce persistenti rivolte ai sistemi degli utenti finali piuttosto che attraverso guasti del servizio centralizzato. Il set di dati deriva da quasi un anno di monitoraggio intensivo da parte di Synthient, una società di sicurezza informatica focalizzata sul monitoraggio delle attività degli infostealer. I ricercatori hanno osservato che le credenziali venivano condivise e vendute su piattaforme come Telegram, vari siti di social media e forum sul dark web. Queste reti sotterranee fungono da hub in cui i criminali informatici si scambiano informazioni rubate ottenute da macchine infette in tutto il mondo. Troy Hunt, il creatore e manutentore del servizio Have I Been Pwned, analizzato la presentazione e ne ha confermato la portata, sottolineando che comprende 3,5 terabyte di dati che comprendono 23 miliardi di record in totale. Per autenticare i contenuti, Hunt ha contattato gli utenti elencati nella fuga di notizie. Un abbonato interessato ha risposto affermativamente, affermando che le informazioni trapelate corrispondevano a “una password accurata per il mio account Gmail”. Questo processo di verifica prevedeva il controllo incrociato dei dettagli con violazioni note e segnalazioni degli utenti, garantendo la legittimità del set di dati. I record stessi sono costituiti da elementi specifici acquisiti durante le interazioni dell’utente: URL dei siti Web in cui si sono verificati gli accessi, indirizzi e-mail associati e le password corrispondenti immesse su tali siti. Tutte queste informazioni sono state raccolte automaticamente da dispositivi già compromessi da malware, spesso durante attività online di routine come controllare la posta elettronica o accedere a portali bancari. L’analisi del set di dati rivela modelli nella cronologia dell’esposizione. Esattamente il 91% delle credenziali erano emerse in precedenti violazioni dei dati documentate altrove. Al contrario, circa 16,4 milioni di indirizzi e-mail rappresentavano voci completamente nuove, mai identificate prima in alcun registro delle violazioni. L’inclusione di password attualmente attive aumenta il potenziale di attacchi di credential stuffing, in cui gli aggressori utilizzano queste combinazioni valide per tentare l’accesso non autorizzato su numerose piattaforme, sfruttando il riutilizzo dei dettagli di accesso tra i servizi. Il malware Infostealer si è diffuso come uno dei principali vettori di minacce. I ricercatori hanno registrato un aumento dell’800% delle credenziali rubate solo nei primi sei mesi del 2025. Questi programmi funzionano di nascosto sui sistemi infetti, estraendo metodicamente dati sensibili tra cui credenziali di accesso, informazioni sul browser memorizzate e token di sessione attivi senza attivare avvisi evidenti. Benjamin Brundage, ricercatore presso Synthient, ha spiegato in dettaglio come i loro strumenti di sorveglianza abbiano catturato picchi fino a 600 milioni di credenziali rubate elaborate in un solo giorno durante periodi di intensa attività malware. Il malware si diffonde principalmente attraverso canali ingannevoli. I vettori comuni includono e-mail di phishing che inducono i destinatari ad aprire allegati o collegamenti dannosi, download di software apparentemente legittimo intriso di codice dannoso ed estensioni del browser che sono state manomesse per includere backdoor. In molti casi, le infezioni persistono senza essere rilevate per periodi prolungati, consentendo un’esfiltrazione prolungata dei dati mentre gli utenti continuano il normale utilizzo del dispositivo. In risposta, Google raccomanda misure di protezione specifiche per gli utenti a rischio. L’abilitazione della verifica in due passaggi aggiunge un ulteriore livello di sicurezza oltre alle password, richiedendo una seconda forma di autenticazione come un codice mobile. L’azienda promuove inoltre le passkey come una valida alternativa alle password convenzionali, sfruttando gli standard crittografici per una maggiore protezione contro phishing e furti. Gli individui possono verificare se i loro indirizzi e-mail o credenziali sono inclusi in questa fuga di notizie effettuando una ricerca sul sito web Have I Been Pwned. Coloro che trovano corrispondenze dovrebbero aggiornare tempestivamente le proprie password a versioni uniche e sicure e abilitare l’autenticazione a più fattori su tutti gli account pertinenti per mitigare ulteriori rischi.
