Have I Been Pwned aggiunge 1,96 miliardi di account dai dati delle credenziali Synthient
Have I Been Pwned ( HIBP ), il popolare servizio di notifica delle violazioni, ha aggiunto un altro enorme set di dati alla sua piattaforma. Questa volta, 1,96 miliardi di account connessi al database Synthient Credential Stuffing Threat Data, in collaborazione con la società di threat intelligence Synthient.
Gli utenti iscritti agli avvisi HIBP, tra cui chi scrive, hanno ricevuto una notifica via e-mail che diceva: "Sei stato vittima della violazione dei dati Synthient Credential Stuffing Threat Data".
Secondo il messaggio, l'incidente coinvolge quasi due miliardi di indirizzi email univoci e circa 1,3 miliardi di password. I dati includono indirizzi email e password raccolti durante precedenti violazioni e diffusi all'interno di liste di credential stuffing. Queste liste sono comunemente utilizzate dagli aggressori per prendere di mira account in cui gli utenti hanno riutilizzato le stesse password su più piattaforme.
La notifica specifica che la violazione è avvenuta nell'aprile 2025, ma sottolinea che dati di questo tipo possono richiedere mesi o addirittura anni prima di diventare accessibili al pubblico ed essere elaborati da HIBP. La piattaforma si propone di avvisare gli utenti non appena i dati diventano verificabili e disponibili per l'inclusione.
La descrizione di HIBP spiega che le informazioni non provengono direttamente da un singolo servizio hackerato. Sono state invece aggregate da Synthient, un'azienda di threat intelligence che raccoglie e analizza dati di credential stuffing provenienti da fonti dannose su Internet.
Nel corso del 2025, Synthient ha raccolto quasi 2 miliardi di indirizzi email univoci da vari database violati, molti dei quali già circolano nei forum del clear web e del dark web . Queste credenziali vengono spesso utilizzate dai criminali informatici per automatizzare i tentativi di accesso su piattaforme non correlate, nella speranza di ottenere l'accesso ad account aggiuntivi tramite il riutilizzo delle password.
Non è la prima volta che i dati di Synthient compaiono su Have I Been Pwned. Nell'ottobre 2025, come riportato da Hackread.com , HIBP ha aggiunto un altro set di dati intitolato Synthient Stealer Credentials, contenente 183 milioni di credenziali rubate, raccolte dai log degli stealer.
La precedente raccolta conteneva informazioni estratte direttamente dai dispositivi infetti, mentre questa nuova aggiunta è una raccolta di credenziali raccolte da elenchi di credential-stuffing anziché da infezioni malware in tempo reale.
L'aggiunta di questi dati evidenzia i rischi del riutilizzo delle password e dell'aggregazione delle credenziali su larga scala. Anche se i dati non provengono da una nuova violazione diretta, la presenza del tuo indirizzo email e della tua password in tali elenchi significa che i tuoi account potrebbero essere a rischio.
Per ora, si consiglia a chiunque venga avvisato tramite il servizio di modificare immediatamente le password riutilizzate, abilitare l'autenticazione a due fattori ed evitare di utilizzare la stessa password su più account.
Si pregano i lettori di prestare attenzione a segnalazioni esagerate o fuorvianti che potrebbero emergere in seguito a questo aggiornamento. Questo incidente non costituisce una violazione diretta dei dati. Il set di dati combina informazioni provenienti da credenziali precedentemente esposte, reperite in più fonti e compilate da Synthient.
La raccolta include indirizzi email di molti provider come Hotmail, Gmail, Yahoo e altri, ma ciò non significa che questi servizi siano stati hackerati. Affermazioni come "2 miliardi di account Gmail hackerati" o "Google violata" sono false e fuorvianti.
- Nome della violazione: Minaccia di Credential Stuffing di Synthient
- Data della violazione: aprile 2025
- Conti interessati: 1,96 miliardi
- Dati esposti: indirizzi email e password
- Fonte: elenchi aggregati di credenziali raccolti da Synthient
- Incidente correlato: credenziali di Synthient Stealer (183 milioni di account, aggiunti nell'ottobre 2025)
HackRead
