Nexi, cosa sappiamo dei dati di 28mila italiani finiti su Pastebin


Su Pastebin sono comparsi 13 archivi con alcune informazioni su utenti italiani. Ma sono generiche e l’azienda smentisce un data breach. Ecco cosa ha ricostruito Wired

Nexi

L’azienda italiana Nexi, specializzata nella fornitura di servizi e infrastrutture per i pagamenti digitali, è stata probabilmente vittima di un tentativo di screditarne l’immagine attraverso la diffusione di informazioni private di circa 28 mila cittadini italiani, solo apparentemente collegabili ai suoi clienti.

L’archivio online

La diffusione è iniziata nel pomeriggio del 29 luglio, quando un utente non ancora identificato ha pubblicato 13 archivi contenenti nome, cognome, indirizzi e codice fiscale di migliaia di persone sulla piattaforma online Pastebin. In testa a ciascun file la medesima dicitura: “Dati personali clienti Nexi Spa”.

Segnalato inizialmente dall’azienda di sicurezza informatica D3lab, il primo archivio risulta pubblicato intorno alle sei del pomeriggio di lunedì. Al suo interno, oltre alla lista di dati personali, una scritta che toglie ogni dubbio sulla volontà di colpire Nexi: “Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro (in riferimento alla via di una delle sedi di Nexi, ndr)”.

I nomi citati sono rispettivamente quelli dell’amministratore delegato della società, nata nel 2017 dalla fusione di CartaSì e Icbpi, del responsabile della sicurezza e di un dirigente del comparto tecnologico del gruppo. Il medesimo annuncio, privo di alcuna rivendicazione ulteriore, apre ciascuno dei 13 file condivisi sulla piattaforma PasteBin.

I dubbi sui dati

Tuttavia rimangono molti dubbi sull’autenticità degli archivi. Come Wired ha potuto verificare, in molti casi si tratta di informazioni non aggiornate, che fanno sospettare che la loro provenienza sia di molto antecedente al fatto. In ogni caso, nessun dato sensibile o bancario è stato individuato e le voci che vedrebbero coinvolti anche i dati delle carte di credito dei clienti sono del tutto infondate.

Alle medesime conclusioni è giunta anche l’azienda, che in un comunicato inviato agli organi di stampa smentisce la possibilità di una violazione, precisando che: “Nessuno dei dati in questione afferiva, in ogni caso, a informazioni di natura finanziaria (es: numero carta, transazioni, codici identificativi, pin, password, etc, etc.). Nexi inoltre precisa che al momento: non ha rilevato alcuna violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso; in molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui sistemi Nexi; a seguito dell’immediata diffida da parte della Società nei confronti del sito internet in questione, i dati sono stati prontamente rimossi. Nexi informa di aver immediatamente denunciato il fatto alle autorità competenti riservandosi ogni azione volta a tutelare i propri interessi”.

Il dettaglio

A meno di dodici ore dalla pubblicazione dei documenti, l’unico collegamento verificato con Nexi è quella frase nell’intestazione, che chiama in causa i massimi vertici dell’azienda e cita anche l’indirizzo di una delle sue sedi. Anche se una più attenta analisi della raccolta rivela un dettaglio preoccupante: dei 28mila nomi presenti nei file, 153 sono collegati a degli istituti di credito. Non una prova dell’autenticità dei dati, ma un’informazione che restringe il campo di ricerca a una probabile origine bancaria.

Tuttavia, anche se molti degli identificativi dovessero risultare effettivamente collegati a utenze di Nexi, la società è titolare di circa 41 milioni di carte (circa la metà di quelle disponibili oggi sono gestite da loro). È dunque è probabile che qualsiasi elenco di cittadini italiani contenga, statisticamente, un’altissima presenza di nomi che risultano anche clienti Nexi.

Il parere degli esperti

“Si tratta di dati che potrebbero essere stati ricavati da qualsiasi altro archivio, a meno che la presenza di poche informazioni legate al mondo bancario non ci indirizzi verso una probabile origine di quel tipo”, ha spiegato a Wired Pawel Zorzan, esperto di sicurezza informatica e tra i primi ad analizzare gli archivi insieme al suo team: Non c’è alcuna prova che i dati provengano da Nexi, ma i prossimi giorni saranno cruciali per una verifica più precisa”.

Dello stesso è anche Andrea Draghetti, ricercatore della società di sicurezza informatica D3lab, che per prima ha scoperto e segnalato la presenza degli archivi sul web: “Abbiamo rilevato più di un archivio e abbiamo cercato di capirne la portata. Per ora non c’è alcuna conferma che i dati provengano da Nexi, chiamata in causa solo nel messaggio lasciato nell’intestazione dei file”.

Nexi ha confermato di aver denunciato il fatto alle autorità, adesso al lavoro per individuare il responsabile dell’azione diffamatoria. Intanto l’azienda ha anche ottenuto la rimozione delle liste di dati dalla piattaforma che li ospitava e sta monitorando che queste non riaffiorino da altre parti, cosa già successa nella mattinata del 30.

L’ipotesi è che l’operazione abbia avuto l’obiettivo di danneggiare l’andamento in borsa della società, che proprio ieri ha pubblicato i risultati del primo semestre, chiudendo con un utile netto normalizzato in crescita del 13,3% a 95,7 milioni di euro. Che si possa trattare di un bluff tuttavia lo confermano anche fonti informate sui fatti, che descrivono l’episodio come “una bolla di sapone, dal momento che conta molto di più la dedica rispetto al contenuto dei file divulgati”. Ma che l’autenticità del leak venga certificata o meno, a pagare sono sempre e soprattutto gli utenti, le cui informazioni vengono affidate alla memoria del web dove rimangono in attesa che qualcuno le raccolga, e trovi un modo illecito di utilizzarle.

Potrebbe interessarti anche





Source link