Un’operazione internazionale coordinata da Europol ha portato allo smantellamento di LeakBase, una piattaforma sul web “in chiaro” (open web) che funzionava come forum e marketplace per la compravendita di database violati e “stealer logs”, archivi di credenziali sottratte tramite malware infostealer. Secondo le informazioni diffuse, LeakBase risulta attivo dal 2021 e ha costruito un archivio ampio e aggiornato di leak storici e più recenti, con grandi volumi di coppie email/password e altri elementi utili per account takeover, frodi e intrusioni successive.
I numeri e una regola interna significativa
A fine dicembre 2025 il forum contava oltre 142.000 utenti registrati, circa 32.000 post e oltre 215.000 messaggi privati, indicatori di un ecosistema stabile e con dinamiche reputazionali interne (crediti e “fiducia” tra utenti) tipiche dei mercati underground. Tra gli elementi citati da Europol compare anche una regola del forum: il divieto di vendere o pubblicare dati collegati alla Russia, dettaglio che suggerisce logiche di “giurisdizione informale” e di autoprotezione frequenti in questi contesti.
La timeline dell’operazione: enforcement prima, disruption poi
L’azione si è sviluppata in due fasi ravvicinate. Il 3 marzo 2026 le autorità hanno condotto interventi coordinati in più giurisdizioni, con arresti, perquisizioni e contatti diretti (“knock-and-talk”). Europol parla di circa 100 azioni a livello globale, con misure rivolte anche a 37 tra gli utenti più attivi. Il 4 marzo 2026 è arrivata la fase tecnica: sequestro del dominio e sostituzione con una splash page delle forze dell’ordine. Sul fronte statunitense, il comunicato del U.S. Department of Justice conferma lo shutdown, il sequestro del database e di due domini, oltre alla pubblicazione di banner di sequestro e all’invio di messaggi di prevenzione agli utenti del forum.
“Nessuno è invisibile online”: il valore investigativo del database sequestrato
Il punto operativo più delicato riguarda il database della piattaforma. Europol evidenzia che il sequestro ha permesso la deanonimizzazione di diversi utenti, convinti di operare in anonimato, e che gli investigatori hanno contattato alcuni sospetti tramite gli stessi canali digitali usati per attività illecite. In parallelo, Europol descrive un lavoro di analisi accelerata sui dati sequestrati, con una “data sprint” nella sede de L’Aia e supporto di figure tecniche dedicate per strutturare milioni di datapoint e trasformarli in piste investigative utilizzabili dai Paesi coinvolti. L’attività si inserisce nel perimetro della Joint Cybercrime Action Taskforce (J-CAT), che supporta indagini cyber internazionali.
Perché questi forum contano
LeakBase rappresenta un esempio concreto di come un data breach non termini con l’evento iniziale. Le credenziali rubate e i dataset “impacchettati” nei forum alimentano truffe, furti d’identità, accessi non autorizzati, campagne di phishing mirate e compromissioni successive. Le autorità richiamano misure difensive note ma decisive: password forti e uniche e MFA riducono il rischio quando dati personali finiscono in circolazione. Resta centrale anche il monitoraggio di accessi anomali e la rotazione rapida delle credenziali esposte, soprattutto in ambienti aziendali.
I Paesi coinvolti e il quadro EMPACT
Europol indica la partecipazione di autorità in 14 Paesi, tra cui Stati Uniti, Regno Unito, Germania, Canada, Australia, Paesi Bassi, Spagna, Polonia e altri.
L’operazione si colloca nel contesto di EMPACT, il meccanismo UE che coordina priorità comuni contro la criminalità organizzata e grave su cicli pluriennali.
