Колишня працівниця Amazon викрала дані 106 мільйонів людей, зламавши компанію Capital One
Джерело:
Міністерство юстиції США36-річну колишню співробітницю Amazon визнали винною у зламі компанії Capital One. Її дії призвели до витоку даних 106 мільйонів осіб у 2019 році. Тепер Пейдж Томпсон загрожує тривале ув'язнення.
Capital One – американська банківська холдингова компанія, що спеціалізується на кредитних картах і автокредитах. У 2019 році її дані було скомпрометовано. Стався масштабний витік інформації про користувачів, які звертались у банк за отриманням кредитної картки в період з 2005 по 2019 рік. У тому числі імена, адреси, поштові індекси, номери телефонів, адреси електронної пошти, дати народження і дані про доходи. Тоді правоохоронці затримали мешканку Сіетла Пейдж Томпсон, відому в мережі під псевдонімом Erratic. Раніше вона працювала на Amazon Web Services Inc.
Цікаво Google та Sony програли чергові суди в Росії
Деталі справи та вирок
Крім усього іншого, витік торкнувся інформації про кредитні картки клієнтів банку: кредитні рейтинги та ліміти, сальдо, історію платежів, а також про контактну інформацію і фрагменти транзакцій за 23 дні в 2016, 2017 і 2018 роках. До рук злочинниці також потрапив мільйон канадських номерів соціального страхування, понад 140 000 американських номерів соціального страхування і 80 000 номерів банківських рахунків.
Томпсон сама привела до себе правоохоронців. Вона згадала компрометацію Capital One у коментарях на GitHub, а для проникнення в мережу скористалася невірною конфігурацією брандмауера. Незабаром на слова Томпсон звернув увагу пильний користувач, а пізніше звернувся до представників банку.
Уже після арешту з'ясувалося, що компрометацією одного тільки Capital One справа не обмежилася. Так, під час обшуку в будинку Томпсон правоохоронці вилучили сервери, на яких виявилася не тільки викрадена у Capital One інформація, але й кілька терабайтів даних, вкрадених більш ніж у 30 інших компаній, освітніх установ та інших організацій. Правоохоронці не розголошували назв постраждалих компаній, але, судячи з повідомлень ЗМІ, серед них могли бути Unicredit, Vodafone, Ford, Університет штату Мічиган і Департамент транспорту Огайо. Крім того, Томпсон не тільки викрадала інформацію, але і використовувала скомпрометовані сервери AWS для майнінгу криптовалюти.Слідчі повідомляли, що Томпсон створила якийсь інструмент, за допомогою якого сканувала інтернет у пошуках неправильно налаштованих серверів Amazon Web Services. Діра в безпеці дозволяла кому завгодно отримати доступ до даних, що зберігаються на серверах.
Наслідки
- Винесення вироку призначено на 15 вересня 2022 року.
- За сукупністю звинувачень Пейдж Томпсон загрожує покарання до 25 років в'язниці.
- Її спроби наголошувати на тому, що вона – етичний хакер і дослідниця інформаційної безпеки, очевидно, не увінчалися успіхом.