Крупная утечка данных Capital One захватила AWS, но Amazon отрицает вину за эпический сбой безопасности

Идите вперед и намекните на неизбежное «Что у вас в кошельке?» шутки. Между прочим, один из возможных ответов на этот вопрос — пальцы хакера . Capital One сообщает, что «посторонний человек» получил несанкционированный доступ и получил различную личную информацию, связанную как с существующими клиентами кредитных карт, так и с людьми, которые подали заявку на получение кредитной карты.

«Хотя я благодарен за то, что преступник был пойман, я глубоко сожалею о том, что произошло», — сказал Ричард Д. Фэрбэнк, председатель и главный исполнительный директор. «Я искренне извиняюсь за понятное беспокойство, которое этот инцидент должен вызывать у пострадавших, и я полон решимости исправить ситуацию».
Capital One обвинила в взломе «уязвимость конфигурации», которую она «немедленно устранила», но не раньше, чем преступник смог украсть около 140 000 номеров социального страхования и 80 000 связанных номеров банковских счетов, принадлежащих клиентам защищенных кредитных карт.
По словам Capital One, преступник также смог украсть данные о статусе клиента (кредитный рейтинг, кредитные лимиты, остатки, историю платежей и контактную информацию) и фрагменты данных о транзакциях за 23 дня с 2016 по 2018 год.
Как и многие компании, Capital One является клиентом Amazon Web Services (AWS). Amazon, однако, быстро попытался дистанцироваться от любой вины во взломе.
«AWS никоим образом не была скомпрометирована и функционировала так, как было задумано. Злоумышленник получил доступ через неправильную настройку веб-приложения, а не базовой облачной инфраструктуры. Как ясно объяснила Capital One в своем раскрытии, этот тип уязвимости не относится к облако», — сказал Newsweek представитель AWS .
Другими словами, согласно заявлению Amazon по этому поводу, Capital One облажалась, а не AWS. Amazon также отмечает на своем веб-сайте, что клиенты «главным образом полностью контролируют» свой контент и «несут ответственность за настроенный доступ к сервисам и ресурсам AWS».
Ничто из этого не утешает примерно 100 миллионов человек в США, пострадавших от взлома, плюс еще 6 миллионов в Канаде. Однако сообщалось, что Федеральное бюро расследований (ФБР) арестовало 33-летнюю подозреваемую Пейдж А. Томпсон в связи со взломом.
Согласно уголовному делу , Томпсон — бывший сотрудник Amazon, угрожавший распространить данные из базы данных Capital One.
По данным Министерства юстиции США, компьютерное мошенничество и злоупотребления наказываются лишением свободы на срок до 5 лет и штрафом в размере 250 000 долларов.

Источник эскиза/верхнего изображения: Филипп Пессар (через Flickr)

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал