Nexi, il caso delle carte di credito italiane violate. Un bluff, ma a che scopo?

Non è ancora chiaro se i dati rilasciati siano veri o se si tratti solo di un tentativo per affossare il titolo dell’azienda in Borsa

Le briciole di un dataset ancora più grosso, un bluff per disorientare gli utenti, una prova di forza per colpire un competitor. Non è ancora chiaro quale sia l’origine, e lo scopo, di migliaia di dati personali diffusi nelle ultime ore e attribuiti a Nexi, il colosso dei pagamenti digitali in Italia.

Per capire cosa è successo bisogna partire da Pastebin.com. Questo portale è uno dei principali luoghi virtuali in cui vengono condivisi frammenti di codice. È molto usato dagli sviluppatori. Qui, il 29 luglio, sono stati pubblicati i dati personali di 14421 persone. Tra questi, 1709 erano associati anche a numeri di telefono. Ora sono stati rimossi.

I dati erano divisi in sei tabelle differenti: tutto raccolto in un lungo elenco di nomi in ordine alfabetico. Ogni file si apriva con un’intestazione: «Dati personali clienti Nexi Spa Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro».

Due nomi sono immediatamente riconducibili a Nexi. Paolo Bertoluzzo è l’amministratore delegato mentre Alessandro Cocciolo è il responsabile della sicurezza informatica. Luca Biancardi invece si presenta su Linkedin come responsabile della sicurezza informatica dell’ICBPI, l’istituto bancario da cui nasce Nexi.

Nexi, l’azienda che gestisce i pagamenti digitali

Nexi è un’azienda nata nel 2017 dalla fusione tra l’istituto bancario ICBPI e CartaSì. Gestisce 41,3 milioni di carte di credito, 2,7 miliardi di transazioni all’anno e oltre 1,4 milioni di terminali Pos. Da pochi mesi è quotata alla Borsa di Milano.

Capire l’origine di questi dati è importante. Dato che la società è quotata in Borsa, rumors di questo tipo potrebbero causare l’oscillazione del titolo e quindi una perdita finanziaria. E questo, forse, potrebbe essere proprio l’obiettivo dei sedicenti hacker.

Il dataset infatti è stato rilasciato lo stesso giorno che l’azienda ha trasmesso un comunicato dal titolo Conti in volata per Nexi, alzati i target 2019. Qui il contenuto: «Utile netto normalizzato in crescita del 13,3% a 95,7 milioni di euro. Bene anche i ricavi che si attestano sui 467 milioni (+6,9%) e l’ebitda a 232,9 milioni (+20%). A fine anno è atteso a 500 milioni a fronte della precedente stima di 490 milioni».

Le analisi dell’etichal hacker Pawel Zorzan Urban

A divulgare molte delle informazioni riguardo la pubblicazione di questi dati è stato Pawel Zorzan Urban, hacker e responsabile della sicurezza presso Independent Security Consultant. In un articolo pubblicato su Linkedin ha raccolto le informazioni sull’origine e la pubblicazione dei dati.

Neanche lui riesce però a definire con certezza se queste informazioni provengano da un database di Nexi. C’è qualche indizio, come un codice che sta circolando nel dark web usato per estrapolare i dati, ma nessuna certezza.

Se i dati fossero confermati, le conseguenze coinvolgerebbero milioni di utenti: «In questo “piccolo” archivio ci sarebbero le prove del contenuto di una porzione del database interno di #Nexi , e se questo fosse vero vuol dire che gli attaccanti hanno pieno accesso ai dati di qualunque cliente #Nexi».

La risposta dell’azienda: «Nessun attacco hacker»

La risposta dell’azienda è arrivata la mattina del giorno successivo alla pubblicazione dei dati. Secondo Nexi i suoi sistemi non sono stati violati. Riportiamo di seguito la nota integrale.

«Nexi precisa che i propri servizi di sicurezza hanno rilevato la pubblicazione su un sito internet straniero di un post anonimo contenente una lista di circa 18mila nominativi (nome, cognome, indirizzo, CF e solo in alcuni casi un contatto telefonico non verificato) che l’autore anonimo attribuiva a presunti clienti Nexi. Nessuno dei dati in questione afferiva, in ogni caso, a informazioni di natura finanziaria (es: numero carta, transazioni, codici identificativi, pin, password, etc, etc.)».

«Nexi inoltre precisa che al momento non ha rilevato alcun violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso. In molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui sistemi Nexi. A seguito dell’immediata diffida da parte della Società nei confronti del sito internet in questione, i dati sono stati prontamente rimossi».

Oltre al motivo per cui sono stati pubblicati questi dati, resta un altro dubbio. Se non sono di Nexi, da dove arrivano i dati pubblicati?

Leggi anche: