Пресс-служба американского банковского холдинга Capital One призналась, что злоумышленник получил личные данные 106 млн клиентов компании. Из-за неправильной настройки облачного хранилища, в руках преступника оказались истории транзакций, кредитные рейтинги и номера социального страхования жертв. Компания оценила ущерб от атаки в $100–150 млн.
Согласно материалам уголовного дела, утечка данных произошла в период с 12 марта по 17 июля этого года. Скомпрометированная информация хранилась на серверах Amazon S3 и содержала сведения из заявок на кредитные карты за последние 14 лет.
Жертвами атаки стали около 100 млн человек в США и примерно 6 млн — в Канаде. Помимо финансовых, злоумышленник завладел личными данными: телефонными номерами, именами, адресами, почтовыми индексами, датами рождения и сведениями о доходах. Преступник также узнал номера социального страхования 140 тыс. клиентов банка в США и порядка 1 млн канадских граждан.
Согласно заявлению ведомства, взломщик, не смог не поделиться своим «счастьем» о краже данных на GitHub, анонимно рассказав одному из пользователей. И конечно же его раскрыли, сообщив об этом Capital One 17 июля, и через два дня компания обратилась в ФБР.
Министерство юстиции США обвинило во взломе бывшую сотрудницу AWS Пейдж Томпсон (Paige Thompson), которую задержали 29 июля.
«Взлом Capital One — очередное доказательство, что компаниям есть чему поучиться в плане эффективного внедрения технологий безопасности, — отметил Джеймс Хэдли (James Hadley), генеральный директор Immersive Labs.»
В апреле этого года эксперты Positive Technologies обнаружили серьезные проблемы безопасности во всех существующих онлайн-банках. Уязвимости грозят не только финансовыми потерями, но и раскрытием конфиденциальной информации клиентов. По мнению специалистов, проблемы связаны со стремлением разработчиков предоставить пользователям максимальное удобство, а не безопасность.