2 milioni di carte di credito rubate: nessun nuovo furto ma c'è comunque un problema

In queste ore si sta diffondendo la notizia di un presunto nuovo furto di numeri di carte di credito appartenenti ad altrettante ignare vittime. Si tratta di quasi 2 milioni di record, corrispondenti ad altrettanti strumenti di pagamento elettronici. Ogni voce in archivio contiene il numero della carta di credito, la sua data di scadenza e il corrispondente codice di verifica della carta (CVC/CVV), stampato sul dorso.

Il furto dei 2 milioni di carte di credito è vecchio: la pubblicazione risale a dicembre 2023

Su uno dei più noti forum hacker è comparso un riferimento per il download di un file di testo contenente i dati di quasi 2 milioni di carte di credito. La notizia è subito rimbalzata online (uno dei primi ragguagli in proposito si trova in questo tweet) e molte testate italiane riportano l’accaduto.

Vogliamo subito mettere le cose in chiaro. La pubblicazione avvenuta in queste ore non rappresenta qualcosa di inedito: quello che viene presentato come data leak di proporzioni colossali, consiste nella semplice ripubblicazione dell’archivio trapelato in rete a dicembre 2023, ormai quasi un anno fa.

Si parla inoltre di una diffusione dei dati sul dark web: anche questo è falso. Il forum hacker in questione è accessibile da un dominio .onion (quindi tramite Tor Browser) ma è anche raggiungibile pubblicamente. Non solo. I dettagli delle carte di credito sono pubblicati da un anno a questa parte sul sito BidenCash: i gestori si autoproclamano autori dell’iniziativa.

Niente di nuovo sotto questo sole autunnale, quindi. Ma è comunque bene stare in guardia.

Controllare se ci sono le nostre carte di credito

Posto che da un anno ad oggi i proprietari delle carte di credito presenti nell’elenco di BidenCash avrebbero potuto ravvisare addebiti mai autorizzati, vale la pena ricordare che il denaro non è mai prelevato istantaneamente dal conto corrente (a meno di non usare carte di debito). Si ha quindi tutto il tempo materiale per contestare una spesa mai affrontata e ottenere rapidamente lo storno.

I numeri di carta di credito con scadenza e CVC possono essere considerati dati personali anche in assenza di nomi e cognomi dei titolari. Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), i dati personali sono definiti come qualsiasi informazione che può identificare, direttamente o indirettamente, una persona fisica.

Anche se il numero di carta di credito, la scadenza e il CVC non sono direttamente collegabili con un nome, i dati possono essere utilizzati per risalire all’identità del titolare attraverso incroci con altre informazioni o sistemi di pagamento.

Come ricordò il Garante Privacy nel caso della sottrazione dei dati di Facebook, azione che permise a terzi non autorizzati di creare una sorta di Pagine bianche dei numeri di cellulare degli italiani, nessuno ha titolo per scaricare e utilizzare gli elenchi delle carte di credito. Nemmeno per finalità positive. Perché le informazioni sono frutto di trattamenti illeciti.

In linea teorica quindi, anche effettuare il download dell’archivio in questione, per poi cercare (in locale, da terminale GNU/Linux) le ultime 8 cifre della propria carta di credito (ad esempio 12341234) non sarebbe ammissibile:

grep -E '^[0-9]*12341234\|' /mnt/d/cartecredito.log

Da dove arrivano i numeri rubati delle carte di credito

Gli elenchi di carte di credito illecitamente pubblicati online provengono di solito da attività illecite come:

• Phishing: Tecniche utilizzate per ingannare gli utenti, spinti a condividere informazioni riservate come appunto i numeri delle carte di credito.
• Web skimming: Attacchi in cui il codice malware è inserito nei siti di e-commerce per raccogliere dati delle carte durante il processo di pagamento.

La diffusione massiva dei dati (la maggior parte delle carte riferibili all’incidente di dicembre 2023) espone i titolari a frodi finanziarie e furti d’identità. È quindi bene controllare con regolarità gli estratti conto delle proprie carte di credito avanzando una contestazione allorquando si rilevassero addebiti per spese mai fatte. In questo senso, la possibilità di accedere alle transazioni effettuate in tempo reale, ad esempio tramite app, aiuta moltissimo.