La sicurezza online non ha una data di scadenza. Anche dati rubati anni fa possono trasformarsi in una minaccia concreta nel presente. L’ultimo campanello d’allarme arriva da una scoperta dei ricercatori di UpGuard, che hanno individuato un database non protetto contenente decine di milioni di numeri di Social Security, insieme a indirizzi email e password.
Il dato più inquietante non è solo la quantità di informazioni esposte, ma la loro validità: dopo aver contattato un campione di persone presenti nell’archivio, i ricercatori hanno verificato che circa un quarto dei numeri di Social Security risultava effettivamente corretto. Informazioni sensibili, quindi, ancora pienamente utilizzabili.
Dati vecchi, rischio attuale
L’elemento che cambia la prospettiva riguarda l’età delle credenziali. Parte delle informazioni potrebbe risalire a una massiccia violazione del 2024, che avrebbe coinvolto utenti negli Stati Uniti, nel Regno Unito e in Canada. Altri dati, invece, sembrano ancora più datati.
L’analisi delle password ha rivelato riferimenti culturali come One Direction, Fall Out Boy e Taylor Swift, indizi che collocano alcune credenziali intorno al 2015. Un dettaglio che dimostra quanto vecchie combinazioni possano restare in circolazione per anni, pronte a essere sfruttate. Il punto è semplice: molte persone non aggiornano le proprie password con regolarità. Anche se diversi servizi impongono cambi periodici, non tutti lo fanno e, soprattutto, non tutti gli utenti adottano buone pratiche di sicurezza.
Il nodo password manager e la falsa sensazione di protezione
La scoperta arriva a breve distanza da altre segnalazioni su falle individuate in alcuni password manager, strumenti pensati proprio per proteggere le credenziali digitali. Il paradosso è evidente: anche quando si utilizzano soluzioni dedicate alla sicurezza, l’esposizione non è mai completamente azzerata.
Greg Pollock, direttore della ricerca di UpGuard, ha sottolineato che non bisogna sottovalutare informazioni “vecchie” anche di un decennio. Se una password non viene modificata, il tempo non la rende innocua. Anzi, può renderla più preziosa per chi tenta di ricostruire profili digitali o accedere a servizi collegati alla stessa email. Un numero di Social Security (quasi il corrispettivo del codice fiscale italiano) non cambia con la stessa facilità di una password. E quando viene associato a indirizzi email ancora attivi, il rischio cresce esponenzialmente.
Perché cambiare password non è più un consiglio
L’episodio evidenzia una dinamica ricorrente nel mondo della cybersecurity: le informazioni sottratte possono rimanere silenti per anni prima di essere sfruttate. I database vengono copiati, scambiati, riorganizzati. E quando riemergono, spesso trovano ancora credenziali valide.
La lezione è operativa, non teorica. Se le password non vengono aggiornate da tempo, il momento di intervenire non è domani. È adesso. La sicurezza digitale non si basa solo su strumenti avanzati, ma sulla costanza con cui vengono adottate le pratiche di base. I furti di dati non invecchiano. Si accumulano.
