Бывшая сотрудница Amazon похитила данные 106 миллионов человек, взломав компанию Capital One

22 июня 2022, 15:29
Читати новину українською
Автор: Александр Гайдамашко

Источник:

Министерство юстиции США

36-летнюю бывшую сотрудницу Amazon признали виновной во взломе компании Capital One. Ее действия привели к утечке данных 106 миллионов человек в 2019 году. Теперь Пейдж Томпсон грозит длительное заключение.

Capital One – американская банковская холдинговая компания, специализирующаяся на кредитных картах и автокредитах. В 2019 году ее данные были скомпрометированы. Произошла масштабная утечка информации о пользователях, которые обращались в банк за получением кредитной карты в период с 2005 по 2019 год. В том числе имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, даты рождения и сведения о доходах. Тогда правоохранители задержали жительницу Сиэтла Пейдж Томпсон, известную в сети под псевдонимом Erratic. Раньше она работала на Amazon Web Services Inc.

Интересно Google и Sony проиграли очередные суды в России

Детали дела и приговор

Кроме всего прочего, утечка коснулась информации о кредитных картах клиентов банка: кредитных рейтингах и лимитах, сальдо, истории платежей, а также о контактной информации и фрагментах транзакций за 23 дня в 2016, 2017 и 2018 годах. В руки преступницы также попали миллион канадских номеров социального страхования, более 140 000 американских номеров социального страхования и 80 000 номеров банковских счетов.

Томпсон сама привела к себе правоохранителей. Она упомянула компрометацию Capital One в комментариях на GitHub, а для проникновения в сеть воспользовалась неверной конфигурацией брандмауэра. На слова Томпсон обратил внимание внимательный пользователь, а позже обратился к представителям банка.

Уже после ареста выяснилось, что компрометацией одного только Capital One дело не ограничилось. Так, во время обыска в доме Томпсон правоохранители изъяли серверы, на которых оказалась не только похищенная у Capital One информация, но и несколько терабайтов данных, украденных более чем у 30 других компаний, образовательных учреждений и других организаций. Правоохранители не разглашали названий пострадавших компаний, но судя по сообщениям СМИ, среди них могли быть Unicredit, Vodafone, Ford, Университет штата Мичиган и Департамент транспорта Огайо. Кроме того, Томпсон не только похищала информацию, но и использовала скомпрометированные серверы AWS для майнинга криптовалюты.

Следователи сообщали, что Томпсон создала некий инструмент, с помощью которого сканировала интернет в поисках неправильно настроенных серверов Amazon Web Services. Дыра в безопасности позволяла кому угодно получить доступ к данным, хранящимся на серверах.

Последствия

  • Вынесение приговора назначено на 15 сентября 2022 года.
  • По совокупности обвинений Пейдж Томпсон грозит наказание до 25 лет тюрьмы.
  • Ее попытки подчеркивать, что она – этичный хакер и исследовательница информационной безопасности, очевидно, не увенчались успехом.