Amatør Capital One -hack bedøver sikkerhedsfællesskabet

Det massive dataindbrud på Capital One syntes at være et usofistikeret angreb fra en enkelt hacker, stille spørgsmål om sikkerheden i det finansielle system og insider trusler mod cloud computing.

Motivet bag overtrædelsen og omfanget af dens indvirkning forblev uklart tirsdag, en dag efter at FBI-agenter anholdt den 33-årige tidligere webingeniør Paige Thompson og anklagede hende for at have stjålet data fra mere end 100 millioner kreditkortapplikationer fra den tiende største amerikanske bank.

"Den største overraskelse er angrebets amatørkarakter, "sagde John Dickson fra sikkerhedskonsulentfirmaet Denim Group.

Dickson sagde, at det var "absolut jordskælvende", at en individuel angriber kunne få adgang til så mange data hos en af ​​de største amerikanske finansinstitutioner.

"Dette kan have en stor indvirkning på tilliden til banksystemet."

Capital One -hacket ser ud til at være anderledes end større overtrædelser hos kreditovervågningsfirmaet Equifax, internetgiganten Yahoo og andre større hændelser, der er blevet tilskrevet sofistikerede nationalstatsenheder.

Amerikanske myndigheder sagde Thompson, en tidligere Amazon Web Services -medarbejder, blev anholdt på grundlag af et tip, efter at hun pralede med at få adgang til dataene på softwaredelingssiden GitHub samt på Twitter og Slack.

Darren Hayes, en professor i datalogi fra Pace University med speciale i cybersikkerhed, sagde muligheden for hurtigt at anholde og retsforfølge en angriber i denne slags sager er usædvanlig.

"De fleste af disse sager begås af hackere i andre lande, " han sagde.

'Gode mennesker gået dårligt'

Hayes sagde, at hændelsen fremhæver risikoen for "insider" -angreb, når betroede medarbejdere vender sig til tyveri.

”Det er udfordrende at fange gode mennesker, der er gået dårligt, så mange banker leder efter det nu "med værktøjer til kunstig intelligens til at opdage anomalier i medarbejderadfærd, Sagde Hayes.

Capital One sagde, at hændelsen berørte omkring 100 millioner amerikanske kunder og seks millioner Canada, med hele 140, 000 amerikanske og en million canadiske socialsikringsnumre kompromitteret.

Kun nogle af dataene blev krypteret, men Capital One sagde, at det ikke havde tegn på, at nogen af ​​dataene blev overført eller solgt, hvor det kunne være skadeligt for kunderne.

Stadig, Hayes sagde, at han ser en risiko for datatab, der kan ende med at gå på kompromis med bankkunder.

"Min fornemmelse er, at vi kommer til at se en masse klagesager, og virksomheden kan blive ansvarlig for mange skader, " han sagde.

Nyheder om brud på Capital One kommer, efter at det amerikanske kreditovervågningsbureau Equifax i sidste uge blev enige om at betale op til 700 millioner dollars for at løse en lignende hændelse, der ramte virksomheden i 2017, påvirker næsten 150 millioner kunder.

New York State Attorney General Letitia James sagde, at hendes kontor åbnede sin egen undersøgelse.

"Mit kontor vil starte en øjeblikkelig undersøgelse af Capital Ones brud, og vil arbejde for at sikre, at New Yorkere, der var ofre for dette brud, får lindring, "Sagde James.

'Lettere mål'

Dylan Gilbert fra forbrugergruppen Public Knowledge sagde, at nyheden rejser spørgsmål om sikkerhedsprocedurer fra den store bank.

"Hvorfor krypterede Capital One ikke disse data fuldstændigt, og hvorfor placerede virksomheden ikke denne store skare af personlige oplysninger bag en korrekt konfigureret firewall? "sagde Gilbert.

"Sikkerhed er udfordrende, og der sker fejl, men desværre for forbrugerne, Virksomheder har intet incitament til at deltage i bedste praksis inden for cybersikkerhed, når straf kommer i form af økonomiske sanktioner, der kun kan tages med som en omkostning ved at drive forretning. "

Joseph Hall, chefteknolog ved Center for Demokrati &Teknologi, sagde hændelsen fremhæver risikoen for at afhænge for meget af cloud computing, som gemmer enorme mængder data på servere.

"Det faktum, at der er så meget mere data i skyen, gør det til et lettere mål, "Sagde Hall.

"Hvis sky -tjenester er forkert konfigureret, er det relativt let for nogen, der går forbi, at drage fordel af det."

Thompsons online -cv indikerer, at hun forlod Amazon i 2016, og der var ingen indikation af, at AWS -skyen selv var skyld i bruddet.

"AWS blev ikke kompromitteret på nogen måde og fungerede som designet, "Sagde Amazon i en erklæring.

"Gerningsmanden fik adgang gennem en fejlkonfiguration af webapplikationen og ikke den underliggende skybaserede infrastruktur. Som Capital One forklarede klart i sin afsløring, denne type sårbarhed er ikke specifik for skyen. "

© 2019 AFP