Il Database Nudo: 184 Milioni di Password alla Luce del Giorno
Quando all’inizio di maggio il ricercatore Jeremiah Fowler si imbatte in un database Elasticsearch privo di qualsiasi misura di protezione, non immagina di trovarvi custodite oltre 184 milioni di credenziali in chiaro, pronte per essere saccheggiate da chiunque ne abbia accesso. Fowler, noto per la sua costante caccia alle esposizioni accidentali di dati sensibili, scorre le prime decine di migliaia di record e rimane sbalordito: accanto a username e password—il campo “Senha”, parola portoghese per password—spuntano etichette e URL di Apple, Google, Meta, Microsoft, Netflix, PayPal e decine di altri servizi, fino a toccare persino domini .gov di almeno ventinove governi, dal Regno Unito all’India, passando per gli Stati Uniti e l’Australia. È un catalogo tanto vasto quanto oscuro: nessuna traccia nel database indica il suo creatore o la sua origine, e questo silenzio alimenta l’ipotesi di un compendio illecitamente assemblato da un gruppo criminale tramite malware infostealer oppure, più cripticamente, da qualche ricercatore operante al di fuori di ogni autorizzazione.
La scoperta arriva con un clic di troppo, ma è proprio quel click che trasforma la minaccia in realtà: credenziali senza crittografia pronte per essere riutilizzate, vendute o manipolate in campagne di phishing o di spionaggio digitale. Fowler, pur non scaricando i dati, contatta a campione decine di utenti estratti dal database e conferma che molte delle email sono autentiche. Agli occhi di un’azienda di hosting come World Host Group – che si affretta a bloccare il “server non gestito” e dichiara di aver aperto un’indagine legale – è stata una truffa di un utente fraudolento; agli occhi di chi si occupa di cybersecurity, è invece l’ennesima prova di quanto rischioso sia concentrare un quantitativo così enorme di informazioni in un unico punto, soprattutto quando mancano i controlli minimi.
Per l’ecosistema Apple, quella raccolta indiscriminata di Apple ID e password iCloud rappresenta un monito: la robusta integrazione tra hardware e software concepita da Cupertino non basta a proteggere chi non sfrutta appieno gli strumenti predisposti. iCloud Keychain, protetto dal Secure Enclave dei chip Apple, genera e conserva password complesse in un’area isolata; l’autenticazione a due fattori (2FA), con codici inviati a dispositivi fidati come iPhone e Apple Watch, innalza di molto la soglia di sicurezza anche quando il rischio di furto dei dati esiste. E il Password Monitor di Safari, disponibile da macOS Monterey in poi, avvisa automaticamente l’utente se le proprie credenziali salvate risultano coinvolte in violazioni note, offrendo un ulteriore livello di difesa “on the fly”.
Il caso di Fowler ricorda anche un’altra pratica essenziale per chi vive nel mondo Apple: mantenere attivo FileVault sui Mac per cifrare interamente il disco e proteggere backup e documenti sensibili, oltre a installare tempestivamente ogni aggiornamento di sistema. È così che – grazie a un approccio olistico che parte dal chip e arriva all’interfaccia utente – Cupertino ha costruito una catena di sicurezza resiliente, in grado di smorzare l’impatto di eventuali esposizioni esterne. Ma come insegna la vicenda del database aperto per sbaglio, la tecnologia più evoluta rimane vulnerabile se l’anello più debole della catena, spesso rappresentato dall’utente o dalle sue abitudini, non viene rinforzato. In questo intreccio di cifre, malware e responsabilità, l’invito è chiaro: scegliere e utilizzare consapevolmente gli strumenti di protezione offerti, per evitare che un singolo errore esponga all’intero mondo digitale le proprie chiavi d’accesso.
