Три года назад в финансовой корпорации Capital One произошла массовая утечка данных , в результате которой была раскрыта личная информация клиентов. Оказалось, что вместо того, чтобы стать жертвой социальной инженерии или атаки программ-вымогателей , Capital One неправильно настроила свое веб-приложение, сделав свою систему уязвимой для взлома. Преступник, Пейдж Томпсон, бывший инженер Amazon, возможно, поэтому она знала об этой неправильной конфигурации, поскольку система Capital One работала на Amazon Web Services (AWS).
Томпсон, которому на момент взлома было 33 года, украл личную информацию более 100 миллионов клиентов Capital One. Эта информация включала номера социального страхования и номера банковских счетов. Томпсон похвасталась своей несанкционированной утечкой этих данных на GitHub. Журналы онлайн-чата показывают, что она рассматривала возможность передачи украденной информации мошеннику и планировала опубликовать данные, раскрывая свою причастность. Женщина, контактировавшая с преступником, предложила Томпсон сдаться правоохранительным органам, но после месяца бездействия со стороны Томпсона женщина сообщила Capital One о нарушении.
Через несколько лет после ухода из Amazon бывший сотрудник создал инструмент для сканирования неправильной конфигурации брандмауэра среди клиентов AWS и в итоге обнаружил, что система Capital One уязвима таким образом. Адвокаты Томпсон утверждали, что она использовала методы этичных хакеров для обнаружения уязвимостей. Однако вместо того, чтобы сообщить Capital One о неправильной конфигурации, как это сделал бы этичный хакер, Томпсон вместо этого украл информацию о клиентах и использовал серверы AWS финансовой фирмы для майнинга криптовалюты.
Теперь, спустя три года после взлома, присяжные в Сиэтле признали Томпсона виновным. о нарушении Закона о компьютерном мошенничестве и злоупотреблениях. В частности, присяжные признали ее виновной по пяти пунктам обвинения в получении несанкционированного доступа к защищенному компьютеру и повреждении защищенного компьютера, а также в мошенничестве с использованием электронных средств связи. Однако присяжные признали Томпсона невиновным в мошенничестве с устройствами доступа и краже личных данных при отягчающих обстоятельствах.
Приговор Томпсону еще не вынесен, но несанкционированный доступ к защищенному компьютеру и повреждение защищенного компьютера караются лишением свободы на срок до пяти лет, а мошенничество с использованием электронных средств – до двадцати лет лишения свободы, поэтому Томпсону может грозить длительный срок. впереди нее.
Верхнее изображение предоставлено пользователем Википедии Tdorante10.