Elektroniczny skok na bank
Ukradziono 100 milionów danych osobowych.
Kiedyś banki rabowano dla pieniędzy. Wycelowany w kasjera pistolet, kartka z żądaniem, ucieczka z torbą banknotów, pościg. Z reguły udany. Jeśli banki bywały na tym stratne, to w niewielkim stopniu. W epoce bankowości elektronicznej tradycyjne napady wciąż są praktykowane, lecz bardziej brzemienne w skutki są inne kradzieże – danych klientów, przechowywanych przez banki. 29 lipca w Stanach Zjednoczonych poinformowano o jednym z największych elektronicznych rabunków w historii.
Capital One, jeden z dziesięciu największych banków amerykańskich, zarabiający głównie na kartach kredytowych i udzielaniu pożyczek wyznał, że padł ofiarą boleśnie skutecznego ataku hakerskiego. Miał on miejsce pomiędzy marcem a lipcem tego roku. Zrabowanych zostało co najmniej 100 mln nazwisk i danych osobowych, jak adresy pocztowe i e-mailowe, numery telefonów, daty urodzenia, informacje dotyczące zarobków klientów banku z USA oraz Kanady. Łupem padło także co najmniej 140 tys. numerów Social Security (poufne identyfikatory osobowe związane z programem emerytalnym) i 80 tysięcy numerów kart kredytowych. Poszkodowani to osoby, które ubiegały się o kredyt lub kartę w latach 2005 – 2019. Dane wykradziono nie bezpośrednio z Capital One, lecz z systemu elektronicznego, zawiadywanego przez ogromną firmę dystrybucyjną Amazon. Amazon nie poczuwa się do winy. Zapewnia, że za nieskuteczne zabezpieczenie swoich danych przed hakerami odpowiada Capital One. Bank nie oponuje, wyraża skruchę, jego prezes Richard Fairbank przeprasza klientów, których danych nie upilnował.
Autorka skoku to 33-letnia Paige Thompson, programistka, ostatnio zatrudniona – od maja 2015 do września 2016 – przez Amazon. Wykryła i wykorzystała słabe punkty, by przełamać zabezpieczenia, tzw. firewall. Wdarła się do bazy danych. Co ciekawe, hakerka nie kryła swych zamiarów ani tożsamości. Była jednym z twórców internetowego klubu na portalu Meetup, który skupiał osoby „pasjonujące się programowaniem, dystrybucją systemów, hakerstwem i łamaniem kodów”. Thompson, używająca przydomka „erratic” (omylna), pisała: „Po prostu przywdziałam pas szachida. Przyznaję, że ukradłam dokumenty Capital One i zamierzam je dystrybuować”. FBI śledziło poczynania Thompson na portalu Slack. Wykryło jej tożsamość, gdy umieściła w internecie dokument weterynarza, który leczył jej kota. „Omylna” pisała otwarcie, że zamierza „udostępnić” skradzione dane. 27 czerwca wymieniła nazwy „kilku firm, instytucji rządowych i edukacyjnych”, które „mogły paść ofiarą następnych ataków hakerskich”. 29 lipca FBI przeprowadziło rewizję w mieszkaniu Thompson w Seattle, znalazło wiele gadżetów elektronicznych i plików. Hakerkę aresztowano. Grozi jej do 5 lat odsiadki i maksymalnie ćwierć miliona dolarów grzywny.
Motywy akcji Thompson nie są na razie jasne. Jest transseksualistką, żaliła się, że jej chłopaka deportowano do Grecji, twierdziła, że sama jest w USA nielegalnie i również pragnie być deportowana na macierzystą wyspę Tuvalu na Pacyfiku. Napomykała o poddaniu się eutanazji w Danii.
W oświadczeniu wydanym 29 lipca wieczorem Capital One przyznał, że 19 lipca został anonimowo poinformowany o niedociągnięciach systemu firewall. Po skoku wartość akcji banku na giełdzie spadła prawie o 5 procent. „Taka historia nie jest dla nich dobra – konstatuje analityk giełdowy Jon Arfstrom z RBC Capital Markets. – Martwimy się dalekosiężnymi szkodami dla reputacji, także politycznymi pociągnięciami regulacyjnymi i karami”.
Capital One padł ofiarą hakerów nie po raz pierwszy. W roku 2014 i 2017 tajne dane klientów wykradali pracownicy banku. W ubiegłym tygodniu firma Equifax, monitorująca historie kredytowe, zapłaciła rekordowe 650 mln dol. po tym, jak dane 147 mln ludzi wykradziono z jej tajnego archiwum w roku 2017. W tym samym roku z niejawnej bazy danych wyciekły informacje personalne dotyczące prawie 200 mln amerykańskich wyborców. (STOL) Na podst.: New York Times, CNN, Newsweek, Daily Mail, Info-Security Magazine, New York Post