Le credenziali di 420.000 account Binance sono comparse in un database non protetto contenente 149 milioni di combinazioni di login provenienti da exchange di criptovalute, servizi finanziari e sistemi governativi scoperto la scorsa settimana.
Il ricercatore di cybersicurezza Jeremiah Fowler ha identificato il repository da 96 gigabyte accessibile senza crittografia o protezione tramite password.
Secondo il rapporto di Fowler, il database è rimasto online per oltre un mese mentre i record continuavano ad accumularsi.
Gli account Gmail rappresentavano la porzione più ampia con 48 milioni di credenziali, seguiti da 17 milioni di login Facebook. Le piattaforme di criptovalute hanno rappresentato un'esposizione più piccola ma significativa, con i 420.000 account di Binance che costituivano l'exchange principale colpito.
Cosa è successo
Il malware infostealer ha raccolto le credenziali da dispositivi personali infetti, piuttosto che da violazioni dirette degli exchange. Il software malevolo opera silenziosamente sui sistemi compromessi, registrando i tasti digitati e le password salvate nel browser prima di trasmettere i dati ai server controllati dagli attaccanti.
Fowler ha segnalato il database al suo provider di hosting, ma la rimozione ha richiesto quasi un mese di comunicazioni.
Il database indicizzava le credenziali rubate utilizzando percorsi host invertiti, consentendo ricerche efficienti per dominio e utente, suggerendo un'infrastruttura criminale organizzata.
Google ha confermato che il dataset raccoglieva credenziali rubate nel tempo da malware di terze parti piuttosto che da nuove violazioni della piattaforma. L'azienda mantiene protezioni automatiche che bloccano gli account e impongono il reset delle password quando vengono individuate credenziali esposte.
Leggi anche: BitMine Acquires 40,000 ETH In Largest 2026 Purchase After Share Expansion
Impatto sull'industria crypto
L'esposizione colpisce in modo sproporzionato gli utenti di criptovalute rispetto alla scala complessiva della violazione. Sebbene gli account Binance rappresentassero lo 0,28% del totale delle credenziali trapelate, le disponibilità in criptovalute affrontano rischi di perdita permanente che non esistono nei servizi finanziari tradizionali, dove sono presenti protezioni antifrode e transazioni reversibili.
Il Chief Security Officer di Binance, Jimmy Su, aveva già affrontato le minacce degli infostealer nel marzo 2025, evidenziando l'aumento delle rilevazioni di credenziali utente compromesse da infezioni malware piuttosto che da violazioni dei sistemi dell'exchange. L'exchange monitora le fonti del dark web e avvia il reset delle password per gli account interessati.
I ricercatori di sicurezza stimano che l'infrastruttura del malware infostealer costi 200-300 dollari al mese per il noleggio, creando barriere d'ingresso molto basse per le operazioni di furto di credenziali. L'analista di Recorded Future Allan Liska ha osservato che i criminali possono accedere a centinaia di migliaia di nuove credenziali ogni mese con abbonamenti che costano meno di una normale rata d'auto.
Il database conteneva anche credenziali per wallet crypto, account di trading e servizi bancari insieme a piattaforme di social media e streaming. Nei campioni sono comparsi domini email governativi di più Paesi, sollevando preoccupazioni riguardo a tentativi mirati di phishing e infiltrazione dei sistemi.
Leggi anche: UK Banks Block 40% of Crypto Exchange Payments, Industry Survey Finds