Nexi: timori di data breach

Nella giornata di ieri (30 luglio 2019) si è sparsa una notizia in merito all’ipotesi che la Nexi, colosso dei pagamenti digitali, avesse subito un data-breach da parte di hacker. L’ipotesi, mai confermata dall’azienda, ha dei connotati piuttosto interessati che cercheremo di analizzare.

Cosa sappiamo sul breach

Tutto è iniziato con la pubblicazione di alcuni dati personali all’interno del sistema pastebin, utilizzato anche dagli hacker per la pubblicazione di dati e comunicazioni.

Non è stato pubblicato un unico file contenente i dati di tutti gli utenti ma ne sono stati creati diversi che, alla data di pubblicazione di questo articolo, risultano solo parzialmente reperibili; altri sono stati cancellati.

I dati sono composti da:

  • Cognome
  • Nome
  • Indirizzo
  • Città
  • Provincia
  • Data di nascita
  • Numero di telefono

Non sempre il set di dati è sempre completo o pulito ma questo ha oggettivamente poca rilevanza. Mancano completamente dati di natura finanziaria e il tutto è accompagnato da un messaggio che fa apparire il tutto come una ipotetica rivendicazione:

Dati personali clienti Nexi Spa
Tanti saluti a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo
Abbracci dai vostri schiavetti di Montefeltro

Sul messaggio possiamo ovviamente fare qualche congettura:

  1. innanzitutto chi lo ha confezionato ha voluto specificare che si tratta di “dati personali dei clienti” e non di dati finanziari o altro. Quindi non deve stupire che il set di dati pubblicato non contenga informazioni di natura finanziaria.
  2. I tre nomi fanno riferimento ai vertici dell’azienda NEXI: Bertoluzzo è Chief Officer di Nexi, Biancardi è Responsabile della Sicurezza, Cocciolo è legato alla gestione dei servizi IT.
  3. La terza riga presenta una frase che suggerisce l’ipotesi di una rivendicazione con connotati lavorativi. Il rimando a via Montefeltro sembrerebbe essere legato ad uno degli uffici della NEXI e sembrerebbe, pertanto, essere un elemento di originalità.

In merito ai dati

I dati pubblicati ci dicono alcune cose: non vi sono dati di natura aziendale ma solo di persone. Parole come SAS, SRL, SRLS, SPA, non ricorrono mai nelle risultanze che ho avuto modo di utilizzare che, ripeto, sono incomplete (solo 1.328 record).

I dati sembrano essere autentici nel loro accoppiamento e questo da determinare è piuttosto facile. Ne è stato acquisito uno e si è fatto un confronto con il sito delle Pagine Bianche.

Esempio di dato verificato

L’autenticità del dato nella parte legata al nominativo è accertabile ma non lo è, ovviamente, quella legata al numero di cellulare: non è che si possano chiamare a caso i numeri degli utenti.

In ogni caso niente di tutto quanto pubblicato dimostra un legame con la NEXI al momento e l’azienda ha smentito categoricamente che vi siano state violazioni.

È altresì possibile che l’origine di questi nomi provenga da database già noti e pertanto le informazioni siano state “riciclate” ma anche di questo non vi è un’evidenza netta per quanto mi riguarda.

Conclusioni

Non è possibile affermare con certezza la presenza del breach, né tantomeno, stabilire che la provenienza sia in qualche modo legata a NEXI.

Ringraziamenti

Come sempre molti di voi scrivono, leggono, criticano, s’informano…grazie! Tra questi mi preme ringraziare:

  • Denis Frati (@DenisFrati)