31/07/19
Американская банковская холдинговая компания Capital One сообщила о масштабной утечке данных более 100 млн жителей США и 6 млн жителей Канады. Злоумышленницей оказалась 33-летняя жительница Сиэтла (штат Вашингтон) Пэйдж Томпсон (Paige Thompson), ранее работавшая в компании Amazon. Женщина имела доступ к публичному облаку Amazon Web Services (AWS), где размещалась база данных пострадавшей компании.
По словам представителя Capital One, компания действительно хранила данные в облаке AWS, однако злоумышленница получила к ним доступ не путем взлома или эксплуатации уязвимости в системах AWS. По словам прокуроров, доступ к банковским данным осуществлялся через неправильно настроенный межсетевой экран, используемый для защиты одного из приложений.
Утечка данных произошла между 12 марта и 17 июля нынешнего года. Скомпрометированной оказалась персональная информация пользователей, оформлявших кредитные карты в период с 2005 по начало 2019 года. Информация включала имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, сведения о дате рождения и доходах. Утечка затронула номера социального страхования 140 000 владельцев карт, а также порядка 80 000 номеров привязанных к картам банковских счетов. Компания оценила ущерб от взлома в $100–150 млн.
Сотрудники ФБР предъявили женщине обвинение в кибермошенничестве. Она останется под стражей до четверга, 1 августа 2019 года — на этот день назначено первое судебное слушание. Ей грозит наказание в виде лишения свободы сроком до пяти лет и штраф в размере $250 000.
Это одна из самых крупных утечек персональных данных за последние несколько лет. В 2017 году в результате кибератаки злоумышленники получили доступ к персональным данным более 140 млн клиентов компании Equifax.
