skip to Main Content

Il caso Nexi: data breach, bufala o Insider Trading?

Il Caso Nexi: Data Breach, Bufala O Insider Trading?

di Pierguido Iezzi

Il data breach di Nexi è una bufala?

Nexi è al centro della tempesta al momento. Gli oltre 21mila nominativi apparsi su Pastebin, il più celebre forum per la condivisione di frammenti di codice sorgente, software, testi, database e altre informazioni sparse, sono stati attribuiti all’ex Istituto Centrale delle Banche Popolari Italiane, ma nessuno sa da dove arrivino e – soprattutto  – se questi appartengano veramente all’istituto di gestione di carte di credito e debito. Ovviamente la situazione è in divenire, ma la genericità degli archivi pubblicati ha fatto nascere qualche sospetto. Ipoteticamente, nel caso in cui si volesse arrecare danno – in particolar modo a una società quotata in borsa – economico e d’immagine, cosa c’è di più semplice del pubblicare una lista non descrittiva di nomi e cognomi (e partita Iva in qualche caso) attribuendola al mio target ?

Cosa sappiamo veramente del caso Nexi?

È veramente fattibile? Di certo, come accennato prima, la genericità (e ancora nessuno è stato in grado di risalire alla fonte di questi dati) può indurci a speculare che in realtà non sia mai avvenuto nessun data leak né tantomeno data breach. Potremmo essere di fronte alla più grande fake news in ambito Cyber Security dell’anno. Questo perché, a prescindere dalle evidenze del caso Nexi, i dati pubblicati potrebbero essere stati usati per arrecare danno a qualsiasi tipo di azienda: da una Rai del caso ad una catena di supermercati che rilascia carte fedeltà, o addirittura a una struttura sanitaria. Concretamente, la frase riportata a inizio leak “Dati personali clienti Nexi Spa Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro.” è l’unica evidenza di un tenue collegamento tra la società italiana e il Data breach, e soprattutto fa pensare ad una sorta di “vendetta”, o quantomeno rivalsa, da parte di qualche threat actor che ha avuto a che fare con una o piu’ delle persone indicate nel post di “rivendicazione”.

L’attacco hacker è avvenuto davvero? La community della Cyber Security si trova a discutere su cause, motivazioni e rimedi

Scollegando queste due righe, a dir poco sospette, e sostituendole con nomi e cognomi dei vertici di una qualsiasi altra azienda è facile immaginare come il database pubblicato possa essere riciclato per arrecare danno ad una qualsiasi altra organizzazione.

Paure e domande

Dubbi o no, il colpo è stato avvertito e al momento il titolo Nexi a Piazza Affari è in ribasso. Ma mentre i consumatori e gli investitori si agitano al pensiero di poter essere vittime di truffe o furto di credenziali finanziarie, dal lato Cyber Security la community si trova a discutere su cause, motivazioni e rimedi. Ma per capire la peculiarità di questo caso dobbiamo prima mettere a fuoco il concetto di Data Breach. In breve, si tratta di un incidente informatico in cui le informazioni e i dati sensibili di un ente (aziende o pubblica amministrazione) vengono rubate o prelevate da uno o piu’ sistemi informativi dell’organizzazione stessa – ma questo puo’ avvenire anche a causa di violazioni verso sistemi di terza parte – ovviamente senza l’autorizzazione del proprietario. I dati sottratti possono riguardare, appunto, informazioni sensibili, ma anche proprietarie o riservate come numeri di carte di credito, dati dei clienti, scambi interni ed esterni di email, segreti industriali o questioni di sicurezza nazionale.

Perché il cybercrime punta ai Data Breach

Sfortunatamente la criminalità informatica è un settore sempre più redditizio per gli aggressori e continua a crescere, con “fatturati” da capogiro, campagne mirate e pianificate, ed un immerso sottobosco di tool di attacco software ed hardware, unitamente a migliaia di “black forum” sui quali avviene lo scambio e la compravendita di dati, informazioni e strumenti di attacco I cyber criminali cercano informazioni personali per rubare denaro, compromettere l’identità o vendere informazioni su questi forum, presenti sia sulla “normale” rete Internet, ma anche e soprattutto sul Deep e sul Dark Web.

Le violazioni dei dati possono verificarsi per una serie di motivi, anche accidentali, ma gli attacchi mirati sono generalmente effettuati in questi quattro modi:

  • Utilizzando le vulnerabilità di sistema: Un software obsoleto può creare una falla che consente all’aggressore di accedere sia ai sistemi collegati alla rete Internet che a quelli attestati sulla Intranet dell’organizzazione vittima, ed eventualmente anche di introdurre malware sulla rete aziendale interna per sottrarre dati.
  • Password deboli:Le password utente deboli e insicure sono più facili da indovinare per i cyber criminali, , soprattutto se composte in maniera semplice o “debole”, come si dice in gergo (weak).. Questa modalita’ di attacco viene semplificata – e di molto – dall’analisi degli utenti e password contenuti proprio nei data breach, soprattutto quelli pubblici.
  • Drive-by Download: È possibile scaricare involontariamente un virus o un malware semplicemente visitando una pagina web compromessa (ed ovviamente, infettata). Un drive-by download in genere sfrutta un browser, un’applicazione o un sistema operativo che non è aggiornato o ha una falla di sicurezza non nota.
  • Attacchi malware mirati: Gli aggressori utilizzano le tattiche di spam e spear phishing per cercare di indurre l’utente a rivelare le credenziali dell’utente, scaricare allegati di malware (o ransomware, come recentemente sta accadendo, in maniera davvero copiosa, in Italia) o indirizzare gli utenti verso siti Web vulnerabili. L’e-mail è un modo comune per far sì che il malware finisca sul computer.

Una questione di fiducia

Questa descrizione sommaria dovrebbe far comprendere meglio il perché di tanta titubanza da parte del lato consumer. Il problema creatosi con Nexi ha intaccato fortemente la fiducia dell’utente finale. Anche se chi è il presunto bersaglio rassicura il mondo negando serenamente che sia mai accaduto qualcosa (un approccio alla gestione delle cosidette “Cyber Crisis” assolutamente errato, che causa piu’ danni che soluzioni), chi non è atto a cimentarsi nel mondo della Cyber Security, naturalmente, stenta a credere a chi è sotto i riflettori.

Il pericolo è che questo sia solo il primo esempio di una nuova strategia diffamatoria che potrebbe diventare standard: utilizzare dati non descrittivi per screditare i propri competitor o, perché no, i propri avversari politici agli occhi del pubblico, cosi’ come per svolgere azioni illegali proprie del c.d. “Insider Trading”, ma senza la necessita’ di avere, appunto, insider all’interno dell’organizzazione vittima

Il caso ha però aperto anche un altro filone di criticità, se vogliamo più ‘alto’, ovvero la mancanza di azione ed autorevolezza da parte di quegli organismi che dovrebbero tutelare le parti coinvolte – sia consumer sia azienda – in casi come questo.

Il silenzio totale, o quasi, dell’Autorità di garanzia (sia per la protezione dei dati sensibili sia per la tutela della concorrenza) e della Consob (La commissione nazionale per le società e la borsa) è stato assordante e ha sicuramente ulteriormente peggiorato la situazione. Ancxhe in questo caso, intravvediamo una sorta di incapacita’ – o per meglio dire di mancanza di esperienza, processi e metodologie di gestione e risposta – alla crisi generate da incidenti di tipo cyber.

Le autorità preposte citate dovrebbero inserirsi e adoperarsi, per ruolo istituzionale, a fare chiarezza, a sedare gli animi comprensibilmente irrequieti e ad evitare le inevitabili ripercussioni che una simile notizia – anche infondata – sono destinate a manifestarsi sui mercati finanziari, sull’economia e tra la popolazione. Non dimentichiamoci che viviamo nell’era dei social network, non solo quelli “ludici” come Facebook ma anche quelli professionali come LinkedIn.

Dopo le fake news dobbiamo prepararci ai “Fake data breach”?

È auspicabile che questi debbano immediatamente sincerarsi dell’accaduto. Se il data breach c’è stato, non mancano gli strumenti – GDPR docet –per sanzionare adeguatamente chi non ha adottato le misure di sicurezza e per attivare ogni utile procedura di emergenza a salvaguardia dei cittadini, le cui informazioni personali indebitamente fuoriuscite dagli archivi elettronici possono essere adoperate in modo illegale. In caso contrario, se la news si rivelasse priva di qualsiasi frammento di verità il compito del Garante e della Consob dovrebbe essere quello di comunicare urbi et orbila falsità della notizia e del conseguente allarme. Il risultato, mancando queste garanzie, l’abbiamo già visto con Nexi – stante che la notizia è ancora in divenire – e le conseguenze sulla brand reputation e sul titolo si sono già fatte sentire. Dopo le fake news dobbiamo prepararci ai “Fake databreach”?

Back To Top