"Prendiamo la Tua Sicurezza Sul Serio"
Hai ricevuto l'email. Un'azienda che usi ha subito un "incidente di sicurezza". "Tengono alla tua privacy." Stanno "collaborando con esperti di cybersicurezza di prim'ordine." Raccomandano di "cambiare la password per precauzione."
Cosa significa davvero tutto questo? Cosa è successo ai tuoi dati? E cosa stanno facendo quegli hacker con essi in questo momento?
Come Avviene Davvero una Violazione
Gli scenari più comuni, in ordine di frequenza:
SQL injection — Un attaccante trova un modulo sul sito (ricerca, login, contatto) dove può iniettare comandi del database. Invece di un nome utente, digita ' OR 1=1 --. Il database restituisce tutto. Questa vulnerabilità è vecchia di decenni ed è ancora la più comune.
Credential stuffing — Gli attaccanti prendono le password da altre violazioni e le provano sul sito target. Se hai riutilizzato una password di un sito violato nel 2019, l'attaccante ha già le tue credenziali pronte da provare.
Phishing di un dipendente — Qualcuno in azienda clicca su una email falsa convincente, cede le sue credenziali e l'attaccante ora ha accesso interno. Molte grandi violazioni sono iniziate con il clic su un'email di phishing di un solo dipendente.
Software non aggiornato — Un server che esegue una versione vecchia di un framework o libreria con una vulnerabilità nota. L'attaccante la sfrutta, ottiene l'accesso, estrae i dati.
Minaccia interna — Più rara ma reale. Un dipendente scontento, un contractor con troppo accesso.
Cosa Prendono
Non tutte le violazioni sono uguali. Ciò che un attaccante estrae dipende da cosa l'azienda ha conservato:
Livello 1 — Il peggio (spesso venduto per 5–50$ per record)
- Nome completo + email + telefono + data di nascita + indirizzo fisico
- Numeri di carta di credito parziali o completi
- Numeri di previdenza sociale / ID nazionali
- Password in testo in chiaro (sì, succede ancora)
Livello 2 — Grave
- Email + password con hash (come di solito è)
- Nome utente + metadati dell'account
- Storico degli acquisti
Livello 3 — Fastidioso ma contenuto
- Solo indirizzo email
- Indirizzi IP
La notifica di violazione dell'azienda di solito descrive cosa è stato esposto. Leggila attentamente.
Cosa Succede ai Dati Dopo
Ora 0 — L'esfiltrazione
L'attaccante copia i dati. Potrebbe essere stato all'interno del sistema per giorni o mesi prima che qualcuno lo notasse — il "tempo di permanenza" medio prima della scoperta è di 197 giorni.
Giorni 1–7 — Uso interno o vendita
L'attaccante o:
- Usa i dati lui stesso (se è la sua azienda target o se vuole account specifici)
- Li vende immediatamente sui mercati del darknet per massimizzare il valore della freschezza
Settimane 1–4 — La violazione diventa pubblica
O l'azienda la scopre (tramite strumenti di sicurezza, la segnalazione di un ricercatore, o una richiesta di riscatto) o appare su un forum di hacker. L'azienda notifica gli utenti — spesso settimane dopo che è accaduto.
Mese 1–12 — Campagne di credential stuffing
Gli attaccanti provano la combinazione email+password su servizi principali: Gmail, Netflix, PayPal, banche. Strumenti automatizzati provano migliaia di combinazioni al minuto. Se hai riutilizzato quella password da qualche parte, verrà trovata.
Anno 1+ — La coda lunga
I dati violati non scadono. Una violazione del 2018 potrebbe essere usata per campagne di phishing nel 2026. I dati di più violazioni vengono combinati ("data enrichment") per costruire profili più completi per attacchi mirati.
Come le Password Vengono (Dovrebbero Essere) Memorizzate
Quando un'azienda memorizza la tua password, non dovrebbe mai memorizzare la password effettiva. Invece memorizza un hash — una trasformazione matematica a senso unico.
- Imposti la password:
hunter2 - Il sito memorizza:
6f3b56e15f5f9a5b...(hash SHA-256) - Quando accedi: il sito fa l'hash del tuo input e confronta gli hash
Il problema: non tutti gli hash sono uguali.
MD5 — Veloce da calcolare, veloce da violare. Una singola GPU può provare 10 miliardi di hash MD5 al secondo. Un database MD5 violato di 10 milioni di password può essere violato in minuti.
SHA-256 (senza salt) — Migliore, ma ancora veloce. Le rainbow table (database di hash precalcolati) possono violare istantaneamente le password comuni.
bcrypt / Argon2 — Progettati per essere lenti. Una GPU che viola 10 miliardi di MD5 al secondo può violare solo ~100 hash bcrypt al secondo. Una violazione di password con hash bcrypt ti dà mesi, non minuti.
Testo in chiaro — Sì, alcune aziende memorizzano ancora le password in testo in chiaro. Se una notifica di violazione dice "le password sono state esposte," non "le password con hash sono state esposte," questo è un segnale d'allarme.
Cosa Fare Quando Ricevi l'Email
Immediato (prime 24 ore):
- Cambia la tua password su quel sito — anche se la violazione ha riguardato solo le password con hash
- Se hai usato quella stessa password altrove, cambiala anche lì — ovunque, lo stesso giorno
- Controlla se il sito offriva dati sensibili (carta di credito, codice fiscale) — se sì, monitora il tuo credito
Entro la settimana:
- Attiva il 2FA sul sito violato se non era già attivo
- Controlla la tua email nel database HaveIBeenPwned per vedere il quadro completo della tua esposizione
- Genera una nuova password unica per ogni sito che scopri essere stato violato (Generatore di Password)
A lungo termine:
- Usa una password diversa per ogni sito — sempre. Un gestore di password rende questo fattibile.
- Attiva il 2FA sull'email — è la chiave di recupero per tutto il resto
- Considera un blocco del credito se il tuo numero di previdenza sociale / ID nazionale è stato esposto
L'Unica Cosa Che Conta Davvero
Il riutilizzo della password è alla radice della maggior parte delle compromissioni di account dopo una violazione. Se la tua password LinkedIn del 2012 è la stessa del tuo account Gmail oggi, una violazione di 12 anni fa è ancora una minaccia attuale.
Controlla se la tua email è stata coinvolta in una violazione. Se lo è stata, tratta ogni password che hai usato in quel periodo come compromessa — e genera nuove password.