Ben 124 milioni di password sono finite nel grande archivio di Have I Been Pwned, e c’è una possibilità concreta che tra queste ci sia anche la tua. Il celebre servizio di notifica delle violazioni dei dati, conosciuto da tutti come HIBP, ha appena aggiunto al suo database una quantità enorme di credenziali rubate. Parliamo nel dettaglio di 56,3 milioni di indirizzi email e, appunto, 124 milioni di password compromesse.
C’è un dettaglio che rende questo pacchetto di dati diverso dal solito. Di norma le informazioni che finiscono in questi archivi arrivano da un singolo attacco a una piattaforma online. Stavolta no. Secondo quanto spiegato da HIBP, questi dati sono stati estratti direttamente da computer e dispositivi infetti, il che cambia parecchio le carte in tavola.
Dietro a tutto ci sono i malware infostealer
Chi gestisce Have I Been Pwned ha chiarito la natura di questa raccolta. Si tratta dei cosiddetti stealer logs, ovvero quei registri che vengono generati da un infostealer dopo aver messo le mani sulle credenziali salvate su un sistema compromesso. L’aggiornamento poggia su centinaia di milioni di singoli record di questo tipo. Da lì sono stati isolati 56 milioni di indirizzi email unici e 124 milioni di password uniche, che ora si possono controllare anche nel database Pwned Passwords.
Il servizio non ha indicato con precisione quale malware ci sia dietro questa specifica raccolta, né ha fornito altri dettagli sulla fonte originale dei dati. Gli infostealer, va detto, sono tra gli strumenti preferiti dai criminali informatici. Questi programmi malevoli passano al setaccio i PC Windows e altri dispositivi alla ricerca di password salvate, dati del browser, cookie, token di accesso e altre informazioni sensibili.
Il problema più grosso è che molti utenti non si accorgono affatto di avere il dispositivo infetto. Risultato: le credenziali possono essere sottratte per lunghi periodi senza che nessuno se ne renda conto. Questo nuovo pacchetto di dati dimostra una cosa importante, e cioè che le password non finiscono nelle mani sbagliate solo per via di attacchi alle aziende, ma anche direttamente dai dispositivi personali.
Come capire se sei tra i coinvolti e cosa fare
Chiunque voglia sapere se il proprio indirizzo email compare nella nuova raccolta può verificarlo proprio attraverso Have I Been Pwned. I record sono stati caricati nel database il 15 giugno 2026. Tra l’altro c’è anche la possibilità di iscriversi alle notifiche automatiche, ricevendo così un avviso via email ogni volta che il proprio indirizzo dovesse spuntare in futuri dataset o violazioni.
Se durante il controllo dovesse saltare fuori il proprio indirizzo o la propria password, conviene muoversi in fretta. La prima mossa è cambiare subito tutte le password compromesse, soprattutto quelle riciclate su più servizi. È esattamente su questa abitudine che contano i criminali quando lanciano i cosiddetti attacchi di credential stuffing.
Un altro scudo importante è l’autenticazione a due fattori, la 2FA. Con questa attiva, una password rubata da sola non basta più per entrare in un account. Tanti servizi fondamentali, dai provider di posta ai social network fino ai negozi online, la supportano già da tempo. Come regola generale, poi, è sempre meglio usare una password unica e robusta per ogni servizio. Un password manager può dare una grossa mano sia a crearle che a gestirle, evitando che una sola violazione finisca per compromettere diversi account in un colpo solo.