Атаку, предположительно, организовала экс-сотрудница Amazon именно на облачном сервисе этой компании банк хранил данные. Нельзя не отметить, что Capital One стал «иконой» для российского миллиардера Олега Тинькова при создании своего банка в 2006 году.
Помимо данных американских клиентов также были похищены данные 6 млн клиентов банка в Канаде. Как отмечает агентство Bloomberg, данная утечка, вероятно, является масштабнейшей для американских банков.
В результате кибератаки хакер заполучил сведения из заявок, поданных с 2005 года. В числе похищенных сведений различная информация, в том числе имена и номера телефонов клиентов, их доход на момент обращения. Также хакеру удалось заполучить номера соцстрахования порядка 140 тыс. клиентов и номера страховых полисов миллиона канадцев.
По заверениям представителей Capital One, похищенную информацию злоумышленники не успели использовать в преступных целях.
Взлом был обнаружен 19 июля, сообщил банк. Использованная злоумышленником уязвимость была незамедлительно устранена. В связи с кражей данных банк обратился в ФБР. Также кредитное учреждение обещает потратить миллионы долларов на повышение информационной безопасности.
Предположительно за кибератакой стоит 33-летняя Пейдж Томпсон, ранее занимавшаяся разработкой ПО для Amazon. В начале неделе она предстала перед судом, который избрал ей меру пресечения в виде содержания под стражей. Если вина девушки будет доказана ей может грозить до пяти лет тюрьмы и $250 тыс штрафа.
По данным Reuters, Томпсон разместила информацию об атаке на сайте GitHub – популярном среди программистов. Также она разместила несколько сообщений в Twitter, которые подтверждают ее причастность к кибератаке. Позже они были удалены.
На откровения Томпсон обратил внимание один из пользователей GitHub, сообщивший о возможной утечке Capital One. Обнаружить хакера удалось быстро, поскольку на странице девушки в GitHub было указано ее полное имя.
Как следует из документов прокуратуры, Томпсон смогла получила доступ к банковским данным из-за ошибки допущенной при настройке фаервола. Данные о своих клиентах банк хранил на серверах компании-подрядчика, которая специализируется на облачных хранилищах. Хотя сам официально название компании не разглашалось, из материалов дела следует, что речь идет об S3 — сервисе, созданном Amazon.
Как отмечают американские СМИ, Capital One активнее других представителей банковского сектора агитировал за использование кредитными учреждениями облачных сервисов. Банк регулярно заявлял об интеграции данной технологии в свои приложения и намерении полностью отказаться от использования обычных дата-центров к 2020 году, для снижения издержек.
«Хотя я благодарен за то, что преступницу поймали, мне очень жаль, что произошел этот инцидент», – заявил Ричард Фербанк, глава и исполнительный директор Capital One.
По оценкам самого банка, инцидент обойдется ему в $100-150 млн. Эти деньги пойдут на информирование клиентов об утечке, проверки их кредитных историй и оплаты работы юристов.
Capital One применял метод рассылки предложений по оформлению кредитных карт, и именно он стал эталоном для Олега Тинькова при создании своего банка. В своей книге миллиардер признавался, что Capital One был для него «как икона».