Torna al blog

Fuga di 24 miliardi di password: come funziona l'industria del credential stuffing

Il 12 giugno 2026, i ricercatori di Cybernews hanno trovato un server non protetto di 8,3 TB con 24 miliardi di account rubati. Analizziamo cosa c'è dentro, come funziona la sostituzione degli account tramite proxy residenziali e mobili e perché il mercato nero delle password rubate colpisce anche il web scraping legale e il multi-accounting.

📅7 luglio 2026
Fuga di 24 miliardi di password: come funziona l'industria del credential stuffing
```html

24 miliardi di login e password rubati sono stati raccolti in un unico luogo — su un server aperto, a cui chiunque poteva connettersi. La scoperta dei ricercatori di Cybernews non è solo un'altra "fuga di dati su N milioni". È una vetrina di un'intera industria: gli infostealer rubano le credenziali, le combo-list le aggregano, e le armate di bot le testano sui siti, mascherando ogni tentativo da un utente reale tramite proxy residenziali e mobili. Analizziamo cosa hanno trovato, come funziona lo stuffing delle credenziali e perché questo mercato ombra colpisce anche il web scraping legale e il multi-accounting.

Cosa è successo: 8,3 TB e 24 miliardi di record su un server

Il 12 giugno 2026, i ricercatori di Cybernews hanno scoperto un cluster Elasticsearch aperto di 8,3 terabyte, contenente 24 miliardi di record con credenziali. Il database non era protetto né da password né da alcuna autenticazione — chiunque conoscesse l'indirizzo poteva leggerlo. Poco dopo la pubblicazione della scoperta, il server è stato portato offline, quindi i ricercatori non sono riusciti a contattare il proprietario.

Il massiccio è stato raccolto da 36 fonti, e questo è un dettaglio chiave. La maggior parte proviene da quelle che vengono chiamate "collezioni" (circa 22,6 miliardi di record), ma la struttura del resto è particolarmente significativa:

  • oltre 1,7 miliardi di record sono stati estratti direttamente da canali Telegram — più di 30 delle 36 fonti si sono rivelate canali dove si commerciano apertamente dati rubati;
  • circa 260 milioni di record — da canali con riferimenti a "Darkside";
  • circa 150 milioni — dump locali di database;
  • circa 146 milioni — compilazioni da fughe di dati precedenti (combo-list).

All'interno — non ci sono solo "email e password". Una parte significativa del massiccio è costituita da log di infostealer: malware come RedLine, Lumma e Vidar, che estraggono tutto dal browser infetto. Nei log più completi ci sono password salvate, cookie di sessione e token — compresi quelli che consentono di bypassare l'autenticazione a due fattori, dati di autocompletamento, impronte del dispositivo e a volte portafogli crittografici. Ogni record è solitamente accompagnato dall'URL del servizio a cui la password si adatta, — cioè un'istruzione pronta "dove effettuare il login".

Un altro aspetto preoccupante: da indizi indiretti (nel massiccio sono stati trovati collegamenti a materiali recenti fino al 2026) è evidente che il proprietario aggiornava regolarmente il database. Non si tratta di un archivio di scarti, ma di uno strumento vivo e aggiornato.

Come si guadagna con le password trapelate: stuffing delle credenziali

Di per sé, un elenco di "login-password" è inutile, finché non viene verificato su siti reali. Questo è ciò che fa lo credential stuffing — lo stuffing delle credenziali: bot automatizzati prendono le coppie rubate e provano a effettuare il login su centinaia di servizi, contando sul fatto che una persona utilizzi una sola password in più luoghi.

La portata del problema è ben visibile nei dati del Verizon DBIR per il 2025. Lo stuffing delle credenziali costituiva mediamente il 19% di tutti i tentativi di accesso giornalieri nei log dei fornitori di SSO, per le grandi aziende la quota arrivava fino al 25%, e nel giorno peggiore registrato — fino al 44% di tutto il traffico di login. Le credenziali rubate erano il vettore iniziale nel 22% degli attacchi confermati. Solo nel 2025 sono state raccolte circa 2 miliardi di coppie uniche da combo-list del dark web — e ora su un server c'erano già 24 miliardi di record.

Ed è qui che inizia la parte che riguarda direttamente l'industria dei proxy. Per non essere scoperti ai primi tentativi, gli attaccanti fanno passare le richieste attraverso pool di proxy residenziali e mobili: ogni tentativo di accesso proviene da un nuovo indirizzo IP di un fornitore reale o di un operatore mobile. Per la protezione del sito, questo non appare come una macchina sospetta che tenta di accedere mille volte, ma come mille "utenti normali" provenienti da diverse città. La protezione classica basata sulla frequenza delle richieste da un singolo IP è quasi inutile con tale rotazione.

Perché questo colpisce il web scraping legale e il multi-accounting

Sembrerebbe che cosa c'entrino coloro che si occupano di raccolta dati onesta, automazione SMM o gestiscono più account per affari? Proprio il fatto che i sistemi anti-bot non distinguono le intenzioni — distinguono i modelli. Più attivamente i malintenzionati mascherano lo stuffing delle credenziali come traffico reale tramite IP residenziali, più aggressivamente Cloudflare, Akamai, DataDome e AWS WAF stringono le maglie per tutti.

Da qui — uno spostamento del rilevamento dal livello IP al livello identità. Oggi i filtri non guardano tanto all'indirizzo, quanto a come si comporta il cliente e come appare la sua impronta di rete:

  • TLS e HTTP fingerprinting (JA3/JA4) — se il handshake non corrisponde al browser dichiarato, il cliente viene contrassegnato come sospetto;
  • analisi comportamentale del timing — una persona reale ha pause tra le azioni che "fluttuano", mentre gli script spesso producono intervalli quasi identici;
  • anomalie nel rapporto di successi — accessi rari e riusciti, distribuiti su più account, — una firma caratteristica dello stuffing;
  • spazi nei header e JavaScript — i bot che non rendono l'intera pagina perdono cookie e valori impostati da JS.

È per questo che nel 2026 il web scraping si sta sempre più trasformando in un gioco di identità, e non in una corsa per il numero di IP — abbiamo esaminato dettagliatamente la meccanica del TLS e JA4 fingerprinting separatamente. Per un progetto onesto, la conclusione è semplice: la qualità e la "pulizia" dei proxy ora sono più importanti della loro quantità. Un IP che ieri è stato utilizzato per forzare le password altrui, oggi è già nelle blacklist dei sistemi reputazionali — e trascina con sé il tuo traffico legale.

C'è anche una dimensione reputazionale. Gli scandali sui botnet di Smart TV compromesse e la recente eliminazione di reti proxy ombra hanno dimostrato che parte del mercato "residenziale" si nutre di fonti dubbie. Per le aziende, questo è un segnale per scegliere un fornitore con una provenienza IP trasparente e un KYC chiaro, e non il pool più economico di qualità sconosciuta. I proxy residenziali legali e proxy mobili da reti verificate offrono quella "pulita" reputazione per cui tutto è iniziato, — senza il rischio di trovarsi nello stesso segmento con traffico di credential stuffing.

Cosa fare subito

Per l'utente comune, la principale protezione da tali fughe è non la password in sé, ma la sua unicità. Un infostealer che ha rubato la tua password da un forum è pericoloso esattamente quanto quella stessa password si adatta alla tua email e al tuo conto bancario.

  • Una password unica per ogni servizio e un gestore di password, per non doverle tenere a mente. Lo stuffing delle credenziali vive esclusivamente sul riutilizzo.
  • Autenticazione a due fattori o passkeys sugli account critici — email, banca, negozi, social media. Anche con una password trapelata, senza il secondo fattore è più difficile accedere.
  • Fai attenzione ai token di sessione. Gli infostealer rubano cookie che sopravvivono all'inserimento della password e 2FA, — quindi, se sospetti un'infezione, è necessario non solo cambiare la password, ma anche terminare le sessioni attive su tutti i dispositivi.
  • Non avviare qualsiasi cosa. Gli infostealer si diffondono tramite pubblicità dannose, falsi "aggiornamenti del browser", software compromessi, cheat per giochi, estensioni sospette e attacchi ClickFix, dove la vittima è persuasa a eseguire il comando da sola.

Per coloro che automatizzano legalmente il lavoro con i siti, la lezione è diversa: separa le identità e non mescolarle. Un set separato di account — un IP pulito separato, un profilo browser separato con un'impronta coerente. È così che si costruiscono scenari anti-detect, e per questo motivo un pool di proxy "grigi" economici è oggi più pericoloso per un progetto della sua assenza.

Conclusione

24 miliardi di record su un server non protetto da password — non è un record per il gusto di farlo, ma una fotografia di un'economia funzionante: infostealer all'ingresso, combo-list nel mezzo, stuffing delle credenziali tramite proxy residenziali all'uscita. Finché le persone riutilizzano le password, questa catena di montaggio sarà redditizia, e la protezione anti-bot diventerà sempre più severa. Perderà chi ignora l'igiene: l'utente comune senza password uniche e 2FA — e l'azienda che cerca di risparmiare sulla pulizia dell'infrastruttura. In un mondo in cui il rilevamento si basa sull'identità e non sull'IP, puntare sulla trasparenza e sulla qualità smette di essere un lusso.

```