5 min
Il mondo crypto è stato scosso da una delle più gravi violazioni di dati degli ultimi anni: oltre 149 milioni di credenziali di accesso esposte in un database non criptato, tra cui quelle di 420.000 account Binance, il principale exchange centralizzato (CEX) a livello globale. La scoperta, effettuata dal ricercatore di cybersecurity Jeremiah Fowler di ExpressVPN, rivela come malware infostealer sempre più sofisticati stiano mettendo a rischio non solo i social media e le piattaforme di streaming, ma soprattutto wallet crypto, conti trading e servizi finanziari decentralizzati. Con 96 GB di dati grezzi completamente accessibili al pubblico, questa violazione rappresenta una minaccia esistenziale per chiunque gestisca asset digitali senza adeguate misure di sicurezza.
L'aspetto più allarmante per gli holder di criptovalute riguarda la tipologia di dati compromessi. Oltre ai 420.000 account Binance esposti, il database conteneva credenziali di crypto wallet, conti di trading e servizi finanziari collegati all'ecosistema blockchain. Per chi opera nel settore crypto, questo significa che fondi in Bitcoin (BTC), Ethereum (ETH) e altre altcoin potrebbero essere stati direttamente accessibili da malintenzionati. A differenza delle violazioni di dati tradizionali, dove le password possono essere reimpostate, le transazioni blockchain sono irreversibili: una volta che un attaccante accede a un wallet non custodial, i fondi possono essere drenati in pochi secondi senza possibilità di recupero.
Il database, ospitato online senza alcuna protezione crittografica o password, è rimasto pubblicamente accessibile per un periodo di tempo imprecisato. Fowler ha segnalato la violazione al provider di hosting, ma ci è voluto quasi un mese prima che l'accesso venisse sospeso. Durante questo intervallo, il numero di record continuava ad aumentare, suggerendo che la raccolta di dati tramite malware infostealer era ancora attiva. Il provider si è rifiutato di rivelare l'identità di chi gestiva il database, lasciando senza risposta domande cruciali sulla natura dell'operazione: si trattava di attività criminale organizzata, ricerca di sicurezza andata male o un'infrastruttura per attacchi coordinati?
La violazione non si è limitata agli exchange centralizzati. Tra i 149.404.754 record distinti sono emersi accessi a piattaforme social come Instagram, Facebook, TikTok e X (ex Twitter), servizi di streaming come Netflix e HBO Max, app di dating e persino account OnlyFans. Il campione analizzato includeva anche credenziali di domini governativi (.gov) di varie nazioni, una scoperta che solleva preoccupazioni sulla sicurezza nazionale e la possibilità di attacchi di phishing mirati o impersonificazione di funzionari pubblici. Per il settore crypto, la presenza di credenziali governative nello stesso database degli exchange suggerisce che la superficie d'attacco è molto più ampia di quanto molti investitori immaginino.
L'evoluzione tecnologica degli infostealer rappresenta un salto qualitativo nella minaccia cyber. Questi malware, che includono funzionalità di keylogging, non si limitano più a raccogliere username e password. I record analizzati contenevano una struttura chiamata "host_reversed path", che organizza i dati rubati invertendo il nome dell'host per indicizzarli più facilmente ed eludere le regole di rilevamento che cercano formati di dominio comuni. Questa sofisticazione tecnica indica che gli operatori dietro questa operazione possedevano competenze avanzate, probabilmente finalizzate a monetizzare i dati attraverso credential stuffing automatizzato su larga scala.
Per gli utenti crypto, cambiare semplicemente le password dopo una violazione non è sufficiente. Se un dispositivo è infetto da malware infostealer, ogni nuova credenziale inserita viene immediatamente catturata e trasmessa agli attaccanti. Questo crea un ciclo di vulnerabilità continua che può essere interrotto solo rimuovendo completamente il malware attraverso software antivirus affidabili. Secondo un report di ottobre 2024 di Security[dot]org, solo il 66% degli adulti statunitensi utilizza protezione antivirus, lasciando milioni di dispositivi vulnerabili. Considerando che il cybercrimine ha causato perdite per 16,6 miliardi di dollari in un solo anno negli USA, l'impatto finanziario di questa specifica violazione potrebbe essere devastante.
Nel contesto normativo europeo, questa violazione assume particolare rilevanza alla luce del regolamento MiCA (Markets in Crypto-Assets), che entrerà pienamente in vigore nel 2025. La normativa impone agli exchange e ai fornitori di servizi crypto standard più elevati di protezione dei dati e cybersecurity. Binance, che già opera sotto scrutinio regolamentare in diverse giurisdizioni europee, potrebbe dover affrontare conseguenze significative se emergerà che le misure di sicurezza dei propri utenti erano inadeguate. La Consob e le autorità ESMA hanno ripetutamente sottolineato che la sicurezza degli investitori retail è prioritaria nell'adozione mainstream delle criptovalute.
La dimensione della violazione solleva anche interrogativi sul modello stesso degli exchange centralizzati. Mentre Binance e altri CEX offrono liquidità e facilità d'uso, concentrano enormi quantità di dati sensibili che diventano obiettivi privilegiati per gli attaccanti. La comunità crypto da tempo dibatte sui vantaggi dei DEX (exchange decentralizzati) e dei wallet non custodial, dove gli utenti mantengono il controllo completo delle proprie chiavi private. Questa violazione potrebbe accelerare la migrazione verso soluzioni self-custody, nonostante la maggiore responsabilità individuale che comportano.
Gli esperti di sicurezza consigliano agli utenti che sospettano infezioni da malware di agire immediatamente: disconnettere il dispositivo da internet, eseguire una scansione completa con antivirus aggiornati e, nel caso di crypto holder, trasferire fondi su nuovi wallet generati da dispositivi puliti. L'autenticazione a due fattori (2FA) basata su hardware, come YubiKey, offre protezione superiore rispetto agli SMS o alle app authenticator installate su dispositivi potenzialmente compromessi. Per gli investitori crypto, la sicurezza operativa (OpSec) non è più opzionale ma una necessità fondamentale per proteggere asset che non beneficiano delle protezioni tradizionali del sistema bancario.