Nexi, il caso delle carte di credito italiane violate. Un bluff, ma a che scopo?

Le briciole di un dataset ancora più grosso, un bluff per disorientare gli utenti, una prova di forza per colpire un competitor. Non è ancora chiaro quale sia l’origine, e lo scopo, di migliaia di dati personali diffusi nelle ultime ore e attribuiti a Nexi, il colosso dei pagamenti digitali in Italia.

Per capire cosa è successo bisogna partire da Pastebin.com. Questo portale è uno dei principali luoghi virtuali in cui vengono condivisi frammenti di codice. È molto usato dagli sviluppatori. Qui, il 29 luglio, sono stati pubblicati i dati personali di 14421 persone. Tra questi, 1709 erano associati anche a numeri di telefono. Ora sono stati rimossi.

I dati erano divisi in sei tabelle differenti: tutto raccolto in un lungo elenco di nomi in ordine alfabetico. Ogni file si apriva con un’intestazione: «Dati personali clienti Nexi Spa Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro».

Due nomi sono immediatamente riconducibili a Nexi. Paolo Bertoluzzo è l’amministratore delegato mentre Alessandro Cocciolo è il responsabile della sicurezza informatica. Luca Biancardi invece si presenta su Linkedin come responsabile della sicurezza informatica dell’ICBPI, l’istituto bancario da cui nasce Nexi.

Nexi, l’azienda che gestisce i pagamenti digitali

Nexi è un’azienda nata nel 2017 dalla fusione tra l’istituto bancario ICBPI e CartaSì. Gestisce 41,3 milioni di carte di credito, 2,7 miliardi di transazioni all’anno e oltre 1,4 milioni di terminali Pos. Da pochi mesi è quotata alla Borsa di Milano.

Capire l’origine di questi dati è importante. Dato che la società è quotata in Borsa, rumors di questo tipo potrebbero causare l’oscillazione del titolo e quindi una perdita finanziaria. E questo, forse, potrebbe essere proprio l’obiettivo dei sedicenti hacker.

Il dataset infatti è stato rilasciato lo stesso giorno che l’azienda ha trasmesso un comunicato dal titolo Conti in volata per Nexi, alzati i target 2019. Qui il contenuto: «Utile netto normalizzato in crescita del 13,3% a 95,7 milioni di euro. Bene anche i ricavi che si attestano sui 467 milioni (+6,9%) e l’ebitda a 232,9 milioni (+20%). A fine anno è atteso a 500 milioni a fronte della precedente stima di 490 milioni».

Le analisi dell’etichal hacker Pawel Zorzan Urban

A divulgare molte delle informazioni riguardo la pubblicazione di questi dati è stato Pawel Zorzan Urban, hacker e responsabile della sicurezza presso Independent Security Consultant. In un articolo pubblicato su Linkedin ha raccolto le informazioni sull’origine e la pubblicazione dei dati.

Neanche lui riesce però a definire con certezza se queste informazioni provengano da un database di Nexi. C’è qualche indizio, come un codice che sta circolando nel dark web usato per estrapolare i dati, ma nessuna certezza.

Se i dati fossero confermati, le conseguenze coinvolgerebbero milioni di utenti: «In questo “piccolo” archivio ci sarebbero le prove del contenuto di una porzione del database interno di #Nexi , e se questo fosse vero vuol dire che gli attaccanti hanno pieno accesso ai dati di qualunque cliente #Nexi».

La risposta dell’azienda: «Nessun attacco hacker»

La risposta dell’azienda è arrivata la mattina del giorno successivo alla pubblicazione dei dati. Secondo Nexi i suoi sistemi non sono stati violati. Riportiamo di seguito la nota integrale.

«Nexi precisa che i propri servizi di sicurezza hanno rilevato la pubblicazione su un sito internet straniero di un post anonimo contenente una lista di circa 18mila nominativi (nome, cognome, indirizzo, CF e solo in alcuni casi un contatto telefonico non verificato) che l’autore anonimo attribuiva a presunti clienti Nexi. Nessuno dei dati in questione afferiva, in ogni caso, a informazioni di natura finanziaria (es: numero carta, transazioni, codici identificativi, pin, password, etc, etc.)».

«Nexi inoltre precisa che al momento non ha rilevato alcun violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso. In molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui sistemi Nexi. A seguito dell’immediata diffida da parte della Società nei confronti del sito internet in questione, i dati sono stati prontamente rimossi».

Oltre al motivo per cui sono stati pubblicati questi dati, resta un altro dubbio. Se non sono di Nexi, da dove arrivano i dati pubblicati?

Leggi anche:

• È morto Fabrizio Saccomanni, presidente di Unicredit ed ex ministro del governo Letta
• Attacco hacker contro l’intelligence russa, enorme furto di informazioni riservate: «Vi abbiamo trollato»
• Imbarazzo per la polizia di Londra, hackerato l’account Twitter: raffica di insulti contro gli agenti – Il video
• Le 20 password da non usare sul vostro smartphone. A meno che non vogliate essere hackerati
• Il M5s non ci sta: «Nessuno tocchi la nostra consultazione online. La piattaforma è a prova di hacker»
• Pedro, l’hacker che riesce a “rapire le tv” con un drone mettendo sotto scacco interi quartieri
• Cybersecurity: gli hacker guadagnano con il furto di dati sanitari. Lo studio