Et hack, 106 millioner mennesker, Capital One fanget af brud

Et sikkerhedsbrud hos Capital One Financial, en af ​​landets største udstedere af kreditkort, kompromitteret de personlige oplysninger om omkring 106 millioner mennesker, og i nogle tilfælde fik hackeren socialsikrings- og bankkontonumre.

Det er blandt de største sikkerhedsbrud af en større amerikansk finansiel institution nogensinde. Bankens aktie faldt 7 % tirsdag d. det største enkeltdagsfald i fire år.

Paige A. Thompson, der bruger online-håndtaget "uregelmæssigt" - blev anklaget for et enkelt tilfælde af computersvindel og misbrug i den amerikanske distriktsdomstol i Seattle. Thompson mødte første gang i retten og blev beordret til at forblive varetægtsfængslet i afventning af et forvaringsmøde torsdag.

Føderale agenter begyndte at spore Thompson online efter at være blevet underrettet af Capital One om et muligt brud i juli.

Den 18. juni Thompson sendte en besked på Twitter til en anden bruger og sagde:"Jeg har dybest set spændt mig fast med en bombevest, (udtalende) at droppe hovedstadens dox og indrømme det."

FBI raidede mandag Thompsons bolig og beslaglagde digitale enheder. En indledende søgning viste filer, der refererede til Capital One og "andre enheder, der kan have været mål for forsøg på eller faktiske netværksindtrængen."

Thompson var systemingeniør hos Amazon Web Services mellem 2015 og 2016, omkring tre år før bruddet fandt sted.

Et CV, som Paige Thompson udsendte på en Slack-gruppe, hun oprettede, siger, at hun arbejdede på dens front-end grænsefladen med brugere og sikkerhedsopdateringer.

Mens denne tjeneste bruges af Capital One, der er ingen beviser for, at Amazons cloud-system var involveret i bruddet.

"AWS blev ikke kompromitteret på nogen måde og fungerede som designet, " sagde en talsmand for virksomheden tirsdag. "Gerningsmanden fik adgang gennem en forkert konfiguration af webapplikationen og ikke den underliggende cloud-baserede infrastruktur. Som Capital One tydeligt forklarede i sin afsløring, denne type sårbarhed er ikke specifik for skyen."

Capital One Financial Corp. blev underrettet af en tredjepart den 19. juli om, at deres data var dukket op på kodehostingssiden GitHub, som er ejet af Microsoft. McLean, Virginia, Virksomheden siger, at det straks underrettede FBI.

FBI sagde, at en Twitter-bruger, der gik "uregelmæssigt", sendte en bruger direkte beskeder, der advarede om at distribuere bankens data, herunder navne, fødselsdatoer og CPR-numre. Denne bruger rapporterede beskeden til Capital One.

Capital One sagde, at det mener, det er usandsynligt, at oplysningerne blev brugt til bedrageri, men efterforskningen er i gang.

Databruddet involverer omkring 100 millioner mennesker i USA og 6 millioner i Canada.

Banken sagde, at hovedparten af ​​de hackede data bestod af oplysninger leveret af forbrugere og små virksomheder, der ansøgte om kreditkort mellem 2005 og begyndelsen af ​​2019. Ud over data såsom telefonnumre, email adresse, fødselsdato og selvrapporteret indkomst, hackeren var også i stand til at få adgang til kreditscore, kreditgrænser og saldi, samt fragmenter af transaktionsoplysninger fra i alt 23 dage i 2016, 2017 og 2018.

"Selvom jeg er taknemmelig for, at gerningsmanden er blevet fanget, Jeg er dybt ked af det, der er sket, " sagde Capital One CEO Richard Fairbank. "Jeg undskylder oprigtigt for den forståelige bekymring, denne hændelse må forårsage de berørte, og jeg er forpligtet til at gøre det rigtigt."

Capital One Financial Corp., nationens syvendestørste forretningsbank med 373,6 milliarder dollars i aktiver pr. 30. juni, er den seneste amerikanske virksomhed, der har været udsat for et større databrud i de seneste år.

I 2017 et databrud hos Equifax, en af ​​de største kreditoplysningsvirksomheder, afsløret CPR-numre og andre følsomme oplysninger for omkring halvdelen af ​​den amerikanske befolkning.

Sidste uge, Equifax indvilligede i at betale mindst 700 millioner dollars for at bilægge retssager over bruddet i et forlig med føderale myndigheder og stater. Aftalen omfatter op til 425 millioner dollars i pengehjælp til forbrugerne.

Mange større banker har forsøgt at dæmme op for risikoen for databrud i de senere år. JPMorgan Chase, Bank of America og Citibank begyndte for flere år siden at erstatte kundernes debetkort med mere sikre chip-baserede kort. Mens kort med jetoner er almindelige i disse dage, mange købmænd stoler stadig på de ældre, mindre sikkert kortstrygeudstyr. Kreditkortselskaber har også skærpet overvågningen af ​​svindel i kølvandet på højprofilerede databrud, der ramte detailhandlere som Target og Home Depot.

De gennemsnitlige omkostninger ved et databrud i USA sidste år var lige under $8 millioner, ifølge en undersøgelse fra IBM Security and Ponemon Institute.

En offentlig forsvarer, der er udpeget til at repræsentere Thompson, returnerede ikke straks en e-mail, hvor han bad om kommentarer.

© 2019 The Associated Press. Alle rettigheder forbeholdes.