La sicurezza informatica globale è tornata al centro dell’attenzione: oltre 2,5 miliardi di account Gmail risultano coinvolti in una fuga di dati che potrebbe avere conseguenze devastanti per gli utenti. L’allarme è partito dopo che il gruppo di hacker ShinyHunters avrebbe avuto accesso a un database interno di Google ospitato su Salesforce.
Attraverso tecniche mirate di social engineering, i cybercriminali avrebbero ingannato un dipendente, riuscendo così a ottenere credenziali riservate e avviare una catena di violazioni.
Phishing, vishing e credenziali rubate
I dati trafugati non si limitano a un singolo episodio, ma comprendono informazioni accumulate in più fughe precedenti. Questo ha permesso agli hacker di orchestrare campagne di phishing e vishing sempre più sofisticate.
- Nel phishing, gli utenti hanno ricevuto email apparentemente legittime, con link e richieste di aggiornamento credenziali.
- Nel vishing, le vittime sono state contattate telefonicamente da finti operatori di Google. Utilizzando addirittura prefissi telefonici della Silicon Valley, i criminali sono riusciti a farsi consegnare codici di verifica e password.
Google ha confermato la gravità della situazione, ammettendo che alcuni account sono stati effettivamente compromessi.
Perché gli utenti sono così vulnerabili
Il punto debole rimane sempre lo stesso: password deboli o mai aggiornate. Molti utenti utilizzano le stesse credenziali su più servizi, amplificando il rischio di furti multipli. Inoltre, chi non ha attivato sistemi di sicurezza aggiuntivi risulta molto più esposto agli attacchi mirati.
Le mosse per difendere il proprio account
Di fronte a questa minaccia globale, Google invita a non sottovalutare il rischio e a mettere subito in pratica alcune misure fondamentali:
- Creare password uniche e complesse, evitando combinazioni facili da indovinare.
- Attivare la verifica a due fattori, preferibilmente tramite un’app dedicata piuttosto che via SMS.
- Adottare le passkey, un nuovo sistema di autenticazione senza password, resistente al phishing.
- Usare il Security Checkup di Google, che analizza vulnerabilità e accessi sospetti.
- Aggiornare regolarmente browser e dispositivi, installando le patch di sicurezza rilasciate da Google.
Una sfida che riguarda tutti
La vicenda dimostra come la cybersecurity sia ormai una priorità quotidiana, non solo per aziende e istituzioni, ma per chiunque utilizzi servizi digitali. La mole di dati sensibili custodita negli account di posta – dalle comunicazioni personali ai documenti professionali – rende Gmail un bersaglio privilegiato.
La regola d’oro resta quella di non abbassare mai la guardia: dietro un’email sospetta o una chiamata apparentemente autentica può nascondersi un tentativo di truffa. E quando sono in gioco miliardi di account, la prudenza non è mai troppa.
Foto di Diedry Ferman da Pixabay
