Un archivio di dimensioni eccezionali, contenente 24 miliardi di record, è stato trovato esposto su internet e accessibile a chiunque sapesse dove cercare. Al suo interno erano presenti username, password e URL di login, tutti conservati in testo in chiaro, senza protezioni apparenti che ne impedissero la consultazione.
Il database, basato su Elasticsearch, è stato individuato all’inizio del mese da ricercatori di Cybernews. La valutazione emersa dall’analisi iniziale è che non si tratti necessariamente di una singola violazione diretta, ma di una grande raccolta composta da log generati da diversi infostealer, cioè malware specializzati nel furto di credenziali e informazioni dai dispositivi compromessi.
La pericolosità del caso sta soprattutto nella scala. Cybernews ha sottolineato che un’esposizione di questa ampiezza mette miliardi di account a rischio concreto di compromissione, in particolare quando non sono protetti da autenticazione multifattore. In presenza di credenziali valide, gli attaccanti possono tentare accessi diretti, riutilizzare password su più servizi o alimentare campagne automatizzate di account takeover.
L’archivio è stato bloccato poco dopo la scoperta, impedendo ai ricercatori di condurre un’analisi più approfondita. Prima della chiusura, però, è stato possibile stabilire che le informazioni provenivano da 36 fonti diverse. Tra queste figuravano canali Telegram, raccolte combinate di precedenti violazioni e dataset esportati direttamente da server bersaglio ancora attivi.
Le dimensioni tecniche del repository aiutano a capire la portata del problema: l’archivio superava gli 8 terabyte, collocandosi tra le raccolte più grandi mai individuate. Non è stato possibile stabilire quante voci fossero duplicate, anche se è ragionevole presumere che una parte dei record lo fosse. Questo non riduce però il rischio operativo, perché anche una quota parziale di credenziali valide sarebbe sufficiente a generare un impatto molto esteso.
Resta incerta anche l’età complessiva dei dati. Cybernews non ha potuto determinare quando ogni singolo record sia stato raccolto, ma la presenza nell’archivio di un articolo datato febbraio 2026 indica che il cluster veniva aggiornato con regolarità. Questo dettaglio è rilevante: una raccolta viva, alimentata nel tempo, è più utile per gli attaccanti rispetto a un archivio statico e ormai superato.
L’identità del proprietario del database rimane sconosciuta. La maggior parte delle fonti Telegram elencate era in inglese, ma alcune erano in russo. Circa 260 milioni di record provenivano inoltre da canali Telegram che includevano la parola Darkside, riferimento al gruppo ransomware oggi non più attivo collegato all’attacco contro Colonial Pipeline avvenuto alcuni anni fa.
Il quadro che emerge è quello di un’infrastruttura di raccolta costruita per monitorare e aggregare in modo continuativo il mercato sotterraneo delle credenziali. Per le imprese, il caso conferma la necessità di trattare le password compromesse come un rischio permanente, non come un evento isolato: rotazione delle credenziali, controlli sugli accessi, autenticazione multifattore e monitoraggio degli account diventano presidi essenziali quando archivi di questa scala finiscono anche solo temporaneamente online.