Nexi, i dati di migliaia di clienti su Pastebin: data breach o bluff?


Sono dati, quelli che vorrebbero in corso un data breach (o un data leak?) da migliaia di utenti, che vanno presi a dir poco con le pinze. Non solo perché Nexi è una società quotata in Borsa dallo scorso aprile, con la più grande operazione italiana dal 2000 rivolta a un pubblico qualificato, ma anche perché il colosso dei pagamenti gestisce 41,3 milioni di carte in Italia attraverso i circa 150 istituti bancari partner che rappresentano l’80% del numero di sportelli del sistema bancario nostrano. Un gigante, insomma, che collega banche cittadini e 890mila negozi, abilitando vari tipi di pagamenti digitali e gestendo 1,4 milioni di terminali Pos oltre a 13.400 Atm. Proprio ieri, e il tempismo fa tuttavia pensare, il cda del gruppo ha approvato i risultati finanziari consolidati al 30 giugno, che confermano il solido trend di crescita operativa e finanziaria del gruppo.
 
Nella serata di ieri sono apparsi su Pastebin, il più celebre forum per la condivisione di frammenti di codice sorgente, software, testi, database e altre informazioni sparse, una serie di elenchi di presunti clienti di Nexi completi di nome, cognome, data e luogo di nascita, indirizzo e codice fiscale. E in certi casi numero di cellulare. Si contano almeno sei lunghe liste da migliaia di utenti ciascuna, per un totale che supererebbe le 10mila unità. Difficile, se non impossibile, dire al momento se si tratti di un frammento effettivo del database – su Twitter alcuni utenti, anche storici, non ci si ritrovano – o di dati vecchi, estratti magari da altri database e riciclati con l’obiettivo di screditare la società. O chissà cos’altro ancora potrebbe esserci dietro. Qualche verifica a campione a partire dai codici fiscali sembrerebbe confermare almeno l’uniformità di ogni singolo elemento.
 
Ciascun “pastebin” è infatti anticipato da una formula che vorrebbe evidentemente suonare beffarda, con un saluto ai vertici del gruppo: “Dati personali clienti Nexi Spa. Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro” si legge all’inizio di ogni lista. Il primo è il Ceo della società, nata due anni fa dalla fusione fra a Icbpi e CartaSi, il secondo è il responsabile della sicurezza e il terzo della IT service management del gruppo. Mentre l’allusione a Montefeltro è probabilmente legata all’indirizzo di una delle sedi della società a Milano.
 
“Se questo fosse vero, le implicazioni legali e i danni potrebbero essere estremamente grandi” ha scritto su LinkedIn l’ethical hacker Pawel Zorzan Urban, che ha anche fornito altri elementi su quegli elenchi rispetto ai quali, va ricordato, non c’è alcuna certezza di “originalità”. Insomma, potrebbero essere già stati diffusi prima o addirittura “riciclati”, cioè pescati da un database decotto e già noto e ampiamente sfruttato nei meandri del dark web e spacciato per quello di Nexi, o almeno per una sua piccola porzione. Secondo l’esperto, fra i primi a segnalare i documenti insieme all’account Twitter dell’agenzia di sicurezza informatica D3Lab, “l’analisi delle prime porzioni di database ha portato ad un totale di 14.241 record privati esposti. 1709 record comprendono numeri di cellulare associati a persone fisiche”. Ancora, potrebbe trattarsi di un sottoinsieme, cioè dei clienti di uno specifico servizio di Nexi, o più semplicemente di informazioni datate, visto che nel corso della notte diversi utenti hanno analizzato gli elenchi, che non contengono comunque informazioni finanziarie di alcun genere, e non sono riusciti a individuarsi.
 
Sul punto dovrà ora intervenire Nexi, per fornire il giusto inquadramento al possibile data breach. Può trattarsi di un leak effettivo, magari di portata ridotta, del tentativo di fornire le prove di una breccia più ampia oppure di un vero e proprio bluff, confezionato magari ad arte per influenzare le quotazioni in Borsa del gruppo.

L’approfondimento quotidiano lo trovi su Rep: editoriali, analisi, interviste e reportage.
La selezione dei migliori articoli di Repubblica da leggere e ascoltare.

Rep Saperne di più è una tua scelta

Sostieni il giornalismo!
Abbonati a Repubblica