🟨"Furto di Credenziali: Un Allerta per l'Identità Digitale"
Giorno: 2025-07-03 | Ora : 19:09 Nel giugno 2025, Cybernews ha rivelato una grave perdita di credenziali: oltre 16 miliardi di accessi compromessi, frutto di malware infostealer. Le informazioni riguardano piattaforme come Google e Facebook, esponendo gli utenti al rischio di furto d’identità. Si propone di passare a soluzioni di identità digitale basate su blockchain, ma ci sono ostacoli da superare. Il futuro dell'autenticazione potrebbe non richiedere più password, ma richiederà cooperazione tra sviluppatori e regolatori per garantire il controllo degli utenti sulla propria identità digitale.
Nel giugno 2025, i ricercatori di Cybernews hanno scoperto una delle più significative perdite di credenziali mai registrate: oltre 16 miliardi di dettagli di accesso sono stati raccolti in circa 30 enormi set di dati, liberamente disponibili online. Questo non è stato il risultato di una singola violazione catastrofica, ma piuttosto l'accumulo di anni di malware infostealer che ha infettato silenziosamente i dispositivi, raccogliendo password, cookie, token di sessione attivi e storie di accesso ai siti web.
Le credenziali compromesse riguardano piattaforme come Google, Apple, Facebook, Telegram e GitHub, con alcuni set di dati contenenti fino a 3,5 miliardi di record. Per un periodo, molte di queste informazioni erano disponibili su server esposti pubblicamente, scaricabili da chiunque avesse un browser, senza necessità di competenze di hacking. Questo mette in luce le debolezze fondamentali dei sistemi di identità tradizionali ancora in uso oggi.
La maggior parte delle persone riutilizza le password. Quando un account viene compromesso, ciò può esporre tutto, dall'email al login bancario. Questo è il funzionamento del credential stuffing, dove una password trapelata può sbloccare l'intera vita digitale di un utente. Inoltre, molti di questi file includono token di sessione, che sono essenzialmente chiavi digitali per account già autenticati.
Con gli strumenti di malware-as-a-service ora ampiamente disponibili, gli aggressori non hanno nemmeno bisogno di colpire direttamente un individuo; possono semplicemente acquistare i dati e automatizzare il takeover. Ciò rappresenta una tempesta perfetta per il furto d'identità, la frode finanziaria e rischi di privacy duraturi, un campanello d'allarme che dimostra che l'autenticazione a due fattori e i gestori di password non sono più sufficienti.
Per affrontare questa crisi, l'attenzione si sta spostando verso soluzioni di identità digitale basate su blockchain, che non si basano sulle password. La gestione dell’identità Web3 sta guadagnando terreno, con l'Unione Europea che implementa eIDAS 2.0 e infrastrutture blockchain per emettere diplomi e credenziali digitali a prova di manomissione.
Tuttavia, nonostante le promesse, l'identità blockchain non è ancora pronta per un'adozione di massa. Ci sono ostacoli legati all'infrastruttura e alla legge, come la necessità di standard di interoperabilità e di una maggiore chiarezza legale. Inoltre, è fondamentale che ci siano progetti pilota nel mondo reale per dimostrare l'efficacia dei sistemi di identità blockchain in azione.
Il futuro dell'autenticazione online potrebbe non dipendere più dalle password, ma realizzare questa visione richiederà un'azione coordinata tra sviluppatori, regolatori e piattaforme globali, con un impegno condiviso per fornire agli utenti il pieno controllo sulla propria identità digitale.
