Redazione ilMetropolitano
Un importante forum online per i dati rubati è stato smantellato in seguito a un’operazione internazionale coordinata dall’Europol.
Il forum, noto come LeakBase, si era affermato come un punto di riferimento nell’ecosistema della criminalità informatica, specializzato nel commercio di database trapelati e dei cosiddetti “stealer log”, archivi di credenziali rubate raccolte tramite malware infostealer. Accessibile sul web aperto e in inglese, la piattaforma combinava elementi di un forum e di un forum di discussione, consentendo ai criminali informatici di acquistare, vendere e scambiare dati compromessi.
Tra il 3 e il 4 marzo, azioni coordinate tra più giurisdizioni hanno gravemente compromesso le attività del forum e preso di mira i suoi utenti più attivi.
Edvardas Šileris – Responsabile del Centro europeo per la lotta alla criminalità informatica dell’Europol
Questa operazione dimostra che nessun angolo di Internet è al di fuori della portata delle forze dell’ordine internazionali. Quello che era nato come un oscuro forum per il furto di dati è stato ora smantellato e coloro che credevano di potersi nascondere dietro l’anonimato vengono identificati e ritenuti responsabili. Questo è un messaggio chiaro per i criminali informatici di tutto il mondo: se traffichi informazioni rubate ad altri, le forze dell’ordine ti troveranno e ti consegneranno alla giustizia.
Un hub per le credenziali rubate
Operazione Leak – Europol
Attivo dal 2021, LeakBase gestiva un vasto archivio costantemente aggiornato di database violati, che spaziava dalle perdite storiche ai dati compromessi di recente. Il forum presentava grandi volumi di coppie di credenziali, tra cui combinazioni di e-mail e password, e altre credenziali di accesso utilizzate per facilitare l’appropriazione indebita di account, frodi e ulteriori intrusioni informatiche.
Un’economia basata sul credito e un sistema di utenti basato sulla reputazione hanno contribuito a creare fiducia tra i trasgressori e a sostenere un fiorente forum clandestino. Una delle principali regole interne del forum proibiva la vendita o la pubblicazione di dati relativi alla Russia.
Entro dicembre 2025, LeakBase contava più di 142.000 utenti registrati, circa 32.000 post e oltre 215.000 messaggi privati, a dimostrazione della sua portata e portata globale.
Fase operativa globale
Il 3 marzo, le autorità di contrasto hanno condotto azioni coordinate di contrasto in diverse giurisdizioni, tra cui arresti, perquisizioni domiciliari e interventi “bussando e parlando”. Sono state condotte circa 100 azioni di contrasto in tutto il mondo, tra cui misure nei confronti di 37 degli utenti più attivi delle piattaforme.
Il 4 marzo le autorità sono passate alla fase di interruzione tecnica, sequestrando il dominio del forum e sostituendolo con una pagina iniziale delle forze dell’ordine.
L’operazione entra ora in una fase di prevenzione volta a scoraggiare ulteriori attività criminali e a sensibilizzare sulle conseguenze della criminalità informatica.
Il sostegno dell’Europol
Gli analisti di Europol hanno mappato l’infrastruttura del forum e l’attività degli utenti, confrontando i dati con le indagini in corso in tutta Europa e oltre. Le informazioni sensibili sono state scambiate in modo sicuro tramite Europol, consentendo agli investigatori di collegare sospettati, vittime e prove digitali oltre confine.
Uno sprint operativo sui dati presso la sede centrale di Europol all’Aia ha riunito specialisti per analizzare rapidamente i dati sequestrati e identificare obiettivi di alto valore. Un data scientist dedicato ha supportato il caso, estraendo e strutturando milioni di punti dati per generare lead utilizzabili.
I partner hanno lavorato a stretto contatto nell’ambito della Joint Cybercrime Action Taskforce (J-CAT) ospitata presso Europol per preparare la fase finale dell’indagine.
Nel giorno dell’azione, l’Europol ha istituito e coordinato un posto di comando congiunto, consentendo ai paesi partecipanti di condividere aggiornamenti e informazioni in tempo reale, mentre le misure di contrasto venivano attuate in tutto il mondo.
Nessuno è invisibile online
Nell’ambito delle indagini, le autorità hanno sequestrato il database del forum. Ciò ha consentito di deanonimizzare diversi utenti che ritenevano di operare in forma anonima. Le forze dell’ordine hanno interagito direttamente con diversi sospettati attraverso gli stessi canali online utilizzati per facilitare le attività criminali.
Contattando i sospettati tramite le loro piattaforme digitali preferite, gli investigatori hanno trasmesso un messaggio chiaro: nessuno è veramente invisibile online.
Le autorità preposte all’applicazione della legge continuano a tracciare attivamente le tracce digitali per smascherare ulteriori trasgressori e stabilire la loro identità reale.
Questa operazione serve anche da monito per il pubblico. Quando un’azienda o un individuo subisce una violazione dei dati, le informazioni rubate non scompaiono semplicemente: spesso riaffiorano su piattaforme criminali come questa, dove vengono riutilizzate per truffe, furti di identità, furti di account o phishing mirato.
Proteggere i dati personali rimane essenziale. L’utilizzo di password complesse e univoche e l’abilitazione dell’autenticazione a più fattori possono ridurre significativamente i rischi in caso di divulgazione delle informazioni.
comunicato stampa – Europol
