Google si è trovata a dover smentire categoricamente l'ennesima notizia bomba riguardante un presunto furto di dati che avrebbe compromesso ben 183 milioni di account Gmail. Nelle scorse ore sono comparse in rete diverse notizie allarmanti, che hanno spinto il colosso di Montain View a intervenire in prima persona per calmare gli animi.
Il fraintendimento nasce da un annuncio fatto da Troy Hunt, il creatore della piattaforma Have I Been Pwned, che ha recentemente integrato nel suo servizio di notifica una collezione massiccia di credenziali compromesse, condivisa dall'azienda di threat intelligence Synthient. Tuttavia, questi dati non provengono affatto da una singola violazione ai danni di Gmail, bensì da una raccolta eterogenea di informazioni sottratte nel corso degli anni attraverso malware specializzati nel furto di credenziali, attacchi di phishing, tecniche di credential stuffing e numerose violazioni di sicurezza su migliaia di piattaforme diverse.
Le dinamiche del cybercrimine moderno prevedono infatti che gli attori malevoli aggreghino costantemente credenziali esposte in enormi database collettivi, che vengono poi condivisi attraverso canali Telegram, server Discord e forum specializzati nel dark web. Queste raccolte rappresentano una sorta di archivio storico delle violazioni digitali, non l'esito di un attacco mirato e recente a un singolo servizio.
Reports of a “Gmail security breach impacting millions of users” are false. Gmail’s defenses are strong, and users remain protected. 🧵👇
— News from Google (@NewsFromGoogle) October 27, 2025
La portata reale del fenomeno emerge dai dati forniti dallo stesso Hunt: dopo aver caricato l'intero dataset su Have I Been Pwned, si è scoperto che il 91% delle 183 milioni di credenziali era già presente nel database della piattaforma. Solo 16,4 milioni di indirizzi email risultavano effettivamente nuovi, a dimostrazione che la stragrande maggioranza di questi dati circola nel sottobosco criminale digitale da tempo immemorabile.
Google ha risposto alle speculazioni mediatiche con una serie di post esplicativi, sottolineando che "i sistemi di difesa di Gmail sono solidi e gli utenti rimangono protetti". L'azienda ha chiarito che le notizie imprecise derivano da un'incomprensione fondamentale su cosa siano i database degli infostealer, strumenti che compilano routine di attività di furto credenziali che avvengono costantemente su tutto il web, senza riflettere un attacco nuovo diretto a una persona, uno strumento o una piattaforma specifica.
Paradossalmente, le aziende tecnologiche utilizzano regolarmente raccolte di credenziali come questa proprio per proteggere i propri utenti. Google stesso monitora questi dataset per avvisare tempestivamente i clienti quando le loro password risultano esposte, forzando reset preventivi per mettere in sicurezza gli account. Si tratta quindi di uno strumento di difesa che i media hanno trasformato in un allarme sicurezza.
Questo non significa però che le credenziali compromesse siano innocue o vadano ignorate. I criminali utilizzano frequentemente queste informazioni come punto di accesso iniziale per penetrare nelle reti aziendali e condurre attacchi devastanti: rimane essenziale prestare la massima attenzione, affidarsi all'autenticazione a due fattori e cambiare le password compromesse il più velocemente possibile, per evitare brutte sorprese.
Non è la prima volta che Google si ritrova in una situazione simile: circa un mese fa, l'azienda ha dovuto smentire affermazioni secondo cui 2,5 miliardi di account Gmail erano stati compromessi, una storia che partiva da una violazione limitata di Salesloft che aveva effettivamente coinvolto un numero ridotto di account Google Workspace, ma che era stata rapidamente gonfiata fino a dimensioni apocalittiche.
Per chi volesse verificare se le proprie credenziali fanno parte della collezione Synthient, è possibile registrarsi su Have I Been Pwned, accedere alla dashboard personale e consultare la sezione dedicata agli Stealer Logs. In caso di risultati positivi, il consiglio è di eseguire una scansione antivirus completa per eliminare eventuali malware, dopodiché cambiare la password di tutti gli account compromessi.