Negli ultimi anni la sicurezza informatica si è trovata di fronte a una crescita allarmante delle credenziali compromesse. Secondo il Data Breach Investigations Report di Verizon 2025, il 22% delle violazioni avvenute nel 2024 è stato causato da credenziali trapelate, superando persino phishing e sfruttamento di vulnerabilità software. Nel 2025, i dati raccolti da Cyberint mostrano che il fenomeno è aumentato del 160% rispetto all’anno precedente, sottolineando quanto sia urgente individuare e reagire alle esposizioni di dati sensibili.

Automazione e nuove tecniche di furto

Il motivo di questa escalation è legato all’automazione e all’accessibilità delle tecniche di furto. Oggi, grazie a malware come gli infostealer venduti come servizio, anche attori poco esperti riescono a sottrarre dati di login dai browser e dalla memoria dei dispositivi. Le campagne di phishing potenziate dall’intelligenza artificiale imitano alla perfezione tono e aspetto dei messaggi aziendali, mentre le credenziali raccolte vengono rapidamente vendute su marketplace underground, canali Telegram e forum illeciti. Il tempo medio per la rilevazione e la bonifica di credenziali esposte, ad esempio tramite repository pubblici come GitHub, può arrivare fino a 94 giorni, lasciando ai cybercriminali un ampio margine di azione.

L’impatto delle credenziali rubate

Le credenziali rubate rappresentano una vera e propria moneta di scambio per gli hacker. Vengono utilizzate non solo per attacchi diretti come l'account takeover, ma anche per campagne di credential stuffing, distribuzione di spam, creazione di botnet e attività di estorsione. Un singolo account compromesso può avere effetti a catena, consentendo l’accesso a servizi aziendali e informazioni sensibili tramite email di recupero o documenti condivisi.

La risposta di Cyberint e l’importanza della detection

Per contrastare questa minaccia, Cyberint, ora parte di Check Point, combina automazione e intelligence umana per monitorare fonti pubbliche, deep web e dark web alla ricerca di esposizioni di credenziali aziendali. L’integrazione con strumenti SIEM e SOAR permette risposte immediate, come la revoca degli accessi o il reset delle password. Tuttavia, il report sottolinea che quasi la metà dei dispositivi coinvolti nelle fughe di credenziali non era protetta da strumenti di endpoint security, includendo laptop personali e device non gestiti.

Strategie per ridurre il rischio

Per ridurre il rischio, è fondamentale adottare una strategia multilivello: policy di password robuste, autenticazione a più fattori, rate limiting, principio del privilegio minimo, formazione contro il phishing e soprattutto un monitoraggio costante delle esposizioni. La vera differenza la fa la rapidità con cui si individuano le credenziali trafugate, permettendo di agire prima che vengano sfruttate. Oggi, la detection tempestiva delle esposizioni rappresenta un vantaggio competitivo per qualsiasi organizzazione.