RockYou2025: Quando Samsung, GitHub e governi crollarono – Il giorno in cui 16 miliardi di password fuggirono
1° giugno 2025 – Il giorno in cui Internet sanguinò
Alle 02:17 UTC del 1° giugno 2025, un messaggio apparve su un forum oscuro del dark web. L’utente, nascosto dietro lo pseudonimo “X_Zero”, scrisse:
16 miliardi di credenziali. Log freschi. Nessun duplicato. RockYou2025. Mirror 1 attivo. Sapete cosa fare.
Breve. Criptico. Devastante.
Nel giro di due ore, i ricercatori di Hudson Rock e Cybernews confermarono l’impensabile: la più grande fuga di password mai registrata era diventata realtà. Trenta set di dati. Oltre 16 miliardi di credenziali. E la cosa più inquietante: erano recenti.
L’anatomia del leak
Il dump, battezzato RockYou2025, rappresentava un’evoluzione sinistra dei suoi predecessori RockYou2021 e RockYou2024. Ma questa volta, i dati erano più puliti, strutturati e pericolosamente utilizzabili. Ogni voce conteneva:
Un URL o dominio
Un nome utente o indirizzo email
Una password in chiaro
Spesso anche informazioni sul dispositivo e timestamp
I dati erano stati raccolti tramite malware infostealer come RedLine, Raccoon e Vidar — software dannosi che si diffondono tramite email di phishing, software piratati o estensioni del browser compromesse. Una volta installati, rubano silenziosamente credenziali, cookie, portafogli crypto e altro, inviandoli a server controllati da cybercriminali.
La portata del disastro
Prima ancora che sorgesse il sole in Europa, il leak si era diffuso come un incendio digitale. Gli analisti confermarono che quasi tutte le principali piattaforme erano coinvolte:
Google, Apple, Facebook, Telegram, GitHub — tutte compromesse
Portali bancari, siti governativi, sistemi sanitari — esposti
VPN aziendali e strumenti interni — violati
Particolarmente allarmante: molte delle credenziali erano più recenti di 90 giorni, segno che le campagne malware erano ancora attive — e continuavano a raccogliere dati.
Gli autori: un’idra digitale
A differenza dei mega-leak precedenti, spesso attribuiti a un singolo gruppo, RockYou2025 portava l’impronta di più attori. Sembrava un archivio consolidato, composto da:
Log di infostealer
Liste per attacchi di credential stuffing
Dati riciclati da leak minori
Forse anche campagne di spionaggio sponsorizzate da stati
Un nome ricorrente tra gli analisti: APT36, noto anche come Transparent Tribe — un gruppo legato al Pakistan, con una lunga storia di attacchi contro infrastrutture indiane. Nessun collegamento diretto è stato provato, ma la loro attività nella primavera 2025 ha sollevato molti sospetti.
Un Chernobyl digitale
Nello stesso giorno, l’FBI emise un’allerta urgente. Google invitò gli utenti ad adottare i passkey. I gestori di password come Bitwarden e 1Password registrarono un aumento di oltre il 400% nelle iscrizioni. Ma il danno era già fatto.
RockYou2025 non era un leak qualsiasi. Era un Chernobyl digitale — silenzioso, invisibile, devastante. E non era che l’inizio.
Dal 2 al 10 giugno 2025 – Le conseguenze e gli attori nell’ombra
Il 2 giugno 2025, il mondo digitale si svegliò nel caos.
I team IT di aziende e istituzioni entrarono in modalità emergenza. I governi attivarono protocolli di crisi. Milioni di utenti — studenti, medici, dirigenti — ricevettero notifiche di compromissione dei propri account. Il leak RockYou2025, ormai confermato con oltre 16 miliardi di credenziali uniche, si era diffuso come un incendio globale.
La risposta globale
Alle 08:00 UTC, l’FBI pubblicò un’allerta urgente: il rischio di attacchi di credential stuffing era “immediato e massiccio”. Nello stesso giorno, Google, Apple e Microsoft iniziarono a spingere gli utenti verso l’adozione dei passkey — un sistema di autenticazione senza password, più sicuro e resistente al phishing.
Entro il 3 giugno, i gestori di password come Bitwarden, 1Password e NordPass registrarono un aumento delle iscrizioni superiore al 400%. Telegram e GitHub iniziarono a sospendere account sospetti. Diverse banche in Europa e Asia bloccarono temporaneamente l’accesso online per effettuare reset di massa.
Gli obiettivi principali
L’elenco delle organizzazioni colpite era impressionante:
Samsung Galaxy: 800 milioni di account compromessi
PowerSchool: 62 milioni di record educativi esposti
Istituto nazionale di previdenza del Marocco: 2 milioni di identità divulgate
Telegram e GitHub: piattaforme di comunicazione e sviluppo violate
Portali governativi: India, Brasile, Unione Europea — tutti coinvolti
Persino aziende della difesa e sistemi sanitari figuravano nei dati trapelati — segno che nessun settore era al sicuro.
Chi c’era dietro?
Le analisi forensi rivelarono che si trattava di un archivio consolidato: log di infostealer, liste per attacchi di credential stuffing, leak minori e forse anche dati raccolti da campagne di spionaggio statale. I malware coinvolti — RedLine, Raccoon, Vidar — erano stati attivi per mesi, nascosti in software piratati, estensioni malevole e campagne di phishing.
Nessun gruppo rivendicò ufficialmente la fuga di dati, ma le tracce digitali puntavano a più attori noti. Uno in particolare attirò l’attenzione: APT36, noto anche come Transparent Tribe — gruppo legato al Pakistan, con una lunga storia di cyber-spionaggio contro l’India. Sebbene non ci fossero prove dirette, la loro attività nel maggio 2025 sollevò forti sospetti di opportunismo strategico.
Un punto di non ritorno
Entro il 10 giugno, il mondo della cybersicurezza era in stato di allerta. Le aziende avviarono reset di massa. I governi formarono task force d’emergenza. E il pubblico — per molti, per la prima volta — realizzò quanto fosse fragile la propria identità digitale.
RockYou2025 non era solo un leak. Era un campanello d’allarme. Una dimostrazione brutale che, in un mondo di password riutilizzate, una sola può diventare un’arma.
Sources
