Netcrook Logo
👤 TRUSTBREAKER
🗓️ 05 Mar 2026   🌍 North America

“Operazione Leak”: le autorità globali schiacciano il più grande bazar di credenziali del dark web

FBI ed Europol guidano un’ampia operazione di smantellamento di LeakBase, un famigerato forum cybercriminale che commerciava credenziali rubate e dati finanziari.

Per gli hacker su LeakBase era tutto come sempre - finché un indirizzo familiare non è scomparso da un giorno all’altro, sostituito da un severo avviso dell’FBI. Per anni, il forum sotterraneo aveva funzionato come un vivace mercato nero di accessi rubati, numeri di carte di credito e chiavi maestre digitali. Ora, una coalizione di agenzie di polizia ha chiuso la porta a uno dei più prolifici punti di ritrovo del cybercrimine al mondo.

Fatti rapidi

  • LeakBase contava oltre 142.000 membri e più di 215.000 messaggi entro la fine del 2025.
  • Il sito era specializzato nella vendita di “stealer logs” - archivi di credenziali rubate raccolte tramite malware.
  • Le autorità hanno sequestrato tutti i contenuti del forum, inclusi account, messaggi e log IP, come prove.
  • L’Operazione Leak ha coinvolto perquisizioni e arresti coordinati in otto Paesi.
  • LeakBase vietava in modo esplicito i database russi, probabilmente per evitare l’attenzione delle forze dell’ordine locali.

LeakBase, emerso nel 2021, è diventato rapidamente un mercato centrale per hacker, truffatori e broker di dati. Il forum offriva una cornucopia di beni illeciti: database violati, informazioni su carte di credito e debito, credenziali bancarie e dettagli di accesso per qualsiasi cosa, dalle email agli account di criptovalute. Con oltre 142.000 utenti registrati, LeakBase non operava nell’ombra del dark web, ma apertamente sul clearnet, risultando insolitamente accessibile persino ai cybercriminali alle prime armi.

Gli amministratori del forum - conosciuti con alias come Chucky, BloodyMery e OrderCheck - avevano coltivato un ecosistema fiorente. In particolare, LeakBase applicava un divieto rigoroso sulla vendita di dati russi, una mossa che, secondo gli esperti, era pensata per evitare di provocare le autorità russe. Secondo la società di cyber threat intelligence Flare, la piattaforma era “una delle più attive e influenti nel sottobosco delle fughe di dati”.

La specialità di LeakBase erano gli “stealer logs” - enormi dump di dati raccolti da malware infostealer, contenenti nomi utente, password, cookie di sessione e persino dettagli bancari. Questi dati alimentavano un’economia globale di takeover di account, frodi finanziarie ed estorsioni digitali. Il threat actor “Chucky” (noto anche come Chuckies e Sqlrip) era famigerato per la condivisione di vasti tesori di database rubati, spesso prendendo di mira organizzazioni di alto profilo in tutto il mondo.

Lo smantellamento, in codice Operazione Leak, si è svolto il 3 e 4 marzo 2026. Le forze dell’ordine degli Stati Uniti, Europol e partner in Australia, Belgio, Polonia, Portogallo, Romania, Spagna e Regno Unito hanno eseguito quasi 100 azioni operative - tra mandati di perquisizione, arresti e interrogatori. Le autorità hanno inoltre adottato “misure non specificate” contro 37 degli utenti più attivi di LeakBase, segnalando una stretta ampia sia sugli operatori sia sugli acquirenti.

L’avviso di sequestro che ora accoglie i visitatori all’URL di LeakBase è più di un monito - è una dichiarazione d’intenti. “Tutti i contenuti del forum, inclusi gli account degli utenti, i post, i dettagli delle carte, i messaggi privati e i log IP, sono stati messi in sicurezza e preservati a fini probatori”, annuncia. Per le forze dell’ordine, queste briciole digitali potrebbero essere la chiave per disfare ulteriori reti di cybercrimine.

La caduta di LeakBase segna una grande vittoria per gli investigatori globali del cybercrimine, ma alza anche la posta in gioco per la prossima generazione di marketplace clandestini. Man mano che le autorità diventano più sofisticate, lo diventano anche i criminali. Il gioco del gatto e del topo continua - ma per ora, uno dei più grandi caveau di dati rubati di internet è saldamente sotto chiave.

WIKICROOK

  • Clearnet: Il clearnet è la parte di internet accessibile apertamente, disponibile a chiunque utilizzi browser standard, a differenza delle reti nascoste che richiedono accessi speciali.
  • Stealer logs: Gli stealer logs sono lotti di credenziali di accesso rubate e dati personali, raccolti da malware e scambiati sui forum cybercriminali per usi illeciti.
  • Malware infostealer: Il malware infostealer è un software malevolo che raccoglie di nascosto informazioni sensibili, come password e dati finanziari, dai computer infetti.
  • Takeover di account: Il takeover di account si verifica quando un cybercriminale ottiene il controllo del tuo account online, spesso rubando le credenziali di accesso, per commettere frodi o furti.
  • Log IP: I log IP registrano gli indirizzi internet degli utenti che si connettono alle reti, aiutando nel monitoraggio, nella sicurezza e nelle indagini su attività sospette o non autorizzate.
Operation Leak LeakBase Cybercrime
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news