Violazioni dei dati

19 Miliardi di Password Trafugate: Cosa Significa RockYou2024

13 aprile 20265 min di letturaUltimo aggiornamento 15 apr 2026

Di Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

19 Miliardi di Password Trafugate: Cosa Significa RockYou2024 per Te

I ricercatori di cybersecurity hanno scoperto quella che è ora la più grande raccolta pubblicamente indicizzata di credenziali rubate mai registrata. Soprannominata RockYou2024, il repository contiene oltre 19 miliardi di password compromesse aggregate da più di 200 recenti violazioni di dati. Il file circola attivamente sui forum degli hacker, dove viene utilizzato per alimentare attacchi di credential stuffing contro piattaforme bancarie, account sui social media e reti aziendali.

Se hai un account online ovunque, questa fuga di dati ti riguarda.

Cos'è RockYou2024 e da Dove Viene?

Il nome "RockYou" ha un peso significativo nella comunità della sicurezza informatica. Si riferisce a una violazione del 2009 della piattaforma di gioco RockYou che ha esposto 32 milioni di password in chiaro, un file che è diventato una lista di riferimento fondamentale per gli strumenti di cracking delle password. RockYou2024 è un'evoluzione di quel concetto molto più ambiziosa e pericolosa.

Invece di originarsi da una singola violazione, RockYou2024 è un dataset compilato attingendo da più di 200 incidenti separati. Ciò significa che non rappresenta il fallimento di una singola azienda. Rappresenta anni di violazioni accumulate attraverso settori, paesi e piattaforme, tutte consolidate in un unico archivio ricercabile che i malintenzionati possono ora sfruttare sistematicamente.

I 19 miliardi si riferiscono alle singole voci di password, non agli account unici. Molti record compaiono più volte in diverse violazioni. Ma i ricercatori avvertono che anche tenendo conto dei duplicati, il volume e l'ampiezza del dataset lo rendono straordinariamente pericoloso.

Perché il Credential Stuffing è la Vera Minaccia

Il rischio principale che pone RockYou2024 non è che qualcuno possa violare la tua password tramite forza bruta. È che potrebbe già averla.

Gli attacchi di credential stuffing funzionano così: un attaccante prende una combinazione nota di nome utente e password da un dataset trafugato e la prova su decine o centinaia di altri servizi. Se hai usato la stessa password per un account su un forum anni fa che utilizzi anche per la tua banca oggi, un attaccante non ha bisogno di violare la tua banca. Ha semplicemente bisogno di provare le credenziali che già possiede.

Il riutilizzo delle password rimane una delle abitudini più diffuse e sfruttate nella sicurezza personale. Gli studi mostrano costantemente che una parte significativa degli utenti ricicla le password su più account. RockYou2024 trasforma questa abitudine in una vulnerabilità diretta e scalabile.

Poiché il dataset circola apertamente sui forum invece di essere detenuto privatamente da un singolo attore malevolo, la superficie di attacco non è limitata agli hacker sofisticati. Operatori con competenze relativamente basse possono ora condurre campagne di credential stuffing utilizzando strumenti ampiamente disponibili e questo dataset come fonte di partenza.

Cosa Significa Questo per Te

Se le tue credenziali compaiono in una qualsiasi delle oltre 200 violazioni che hanno alimentato questo dataset, sono potenzialmente nelle mani di chiunque abbia scaricato il file. Ma anche se ritieni che i tuoi account non siano stati direttamente violati, la portata di RockYou2024 significa che il rischio non è teorico.

Ecco cosa conta di più in questo momento:

Il riutilizzo delle password è la vulnerabilità principale. Una password forte e unica su un account non significa nulla se hai usato la stessa password altrove e quell'altro account è stato compromesso. Ogni account dovrebbe avere la propria password distinta.

Una VPN non protegge le tue password. Una VPN cifra il tuo traffico internet e maschera il tuo indirizzo IP, il che è genuinamente utile per la privacy. Ma non fa nulla per prevenire il credential stuffing. Se un attaccante ha già il tuo nome utente e la tua password, non ha bisogno di intercettare la tua connessione. Ha solo bisogno di provare ad accedere. La sicurezza a strati significa combinare la protezione del traffico con una buona gestione delle credenziali.

L'autenticazione a più fattori è la tua barriera più efficace. Anche se un attaccante dispone del tuo nome utente e della tua password corretti, un secondo fattore di autenticazione, che si tratti di un codice da un'app, una chiave hardware o una verifica biometrica, blocca il tentativo di accesso sul nascere. Abilitala ovunque venga offerta, dando priorità ai conti finanziari, all'email e a qualsiasi account collegato a metodi di pagamento.

Verifica la tua esposizione. Servizi gratuiti come Have I Been Pwned ti consentono di inserire il tuo indirizzo email e vedere quali violazioni note hanno incluso le tue credenziali. È un controllo rapido e utile.

Usa un gestore di password. Generare e ricordare una password unica e complessa per ogni account non è realistico senza strumenti appositi. I gestori di password si occupano di questo automaticamente, creando credenziali sicure e conservandole in modo protetto, così devi ricordare solo una password principale.

Proteggere la Tua Identità Digitale Va Oltre Qualsiasi Singolo Strumento

RockYou2024 ci ricorda che la sicurezza digitale non è un prodotto che acquisti una volta e dimentichi. È un insieme di pratiche sovrapposte. Cifrare il traffico, gestire le credenziali con attenzione, abilitare l'autenticazione a più fattori e rimanere vigili contro i tentativi di phishing funzionano tutti insieme. Rimuovere uno qualsiasi di questi livelli crea una lacuna che gli attaccanti sono pronti a sfruttare.

Le dimensioni di questa fuga di dati sono allarmanti, ma la risposta non deve essere dettata dal panico. Deve essere metodica. Inizia con i tuoi account più importanti, cambia le password riutilizzate, abilita l'autenticazione a più fattori e utilizza un gestore di password in futuro. Questi passaggi non ti renderanno immune a ogni minaccia, ma ti metteranno ben al di sopra della grande maggioranza degli obiettivi che gli attacchi di credential stuffing sono progettati per colpire.

// FAQ

Cos'è RockYou2024?

RockYou2024 è la più grande raccolta pubblicamente indicizzata di credenziali rubate mai registrata, contenente oltre 19 miliardi di password compromesse compilate da più di 200 violazioni di dati separate. Il file circola attivamente sui forum degli hacker e viene utilizzato per attaccare piattaforme bancarie, account sui social media e reti aziendali.

Da dove proviene il dataset RockYou2024?

A differenza di una singola violazione, RockYou2024 è stato compilato da più di 200 incidenti di violazione dei dati separati attraverso settori, paesi e piattaforme. Non è il risultato del fallimento di un'unica azienda, ma piuttosto di anni di violazioni accumulate consolidate in un unico dataset.

Il numero di 19 miliardi significa che 19 miliardi di account unici sono stati compromessi?

No, i 19 miliardi si riferiscono alle singole voci di password, non agli account unici, e molti record compaiono più volte in diverse violazioni. Tuttavia, i ricercatori avvertono che anche tenendo conto dei duplicati, il volume e l'ampiezza del dataset rimangono straordinariamente pericolosi.

Cos'è un attacco di credential stuffing e perché RockYou2024 lo rende peggiore?

Un attacco di credential stuffing consiste nel prendere combinazioni note di nome utente e password da dataset trafugati e provarle su molti altri servizi, sfruttando l'abitudine comune di riutilizzare le password. RockYou2024 peggiora la situazione perché il dataset circola apertamente sui forum, il che significa che anche attaccanti con scarse competenze possono condurre queste campagne utilizzando strumenti ampiamente disponibili.

È necessario essere un hacker sofisticato per sfruttare il dataset RockYou2024?

No, poiché il dataset circola apertamente sui forum degli hacker invece di essere detenuto privatamente, operatori con competenze relativamente basse possono condurre campagne di credential stuffing utilizzando strumenti ampiamente disponibili e il dataset. Questo amplia significativamente la potenziale superficie di attacco ben oltre i soli hacker sofisticati.