Viac ako 1 milión kanadských čísel sociálneho poistenia bolo zneužitých.
Spoločnosť Capital One zverejnila, že utrpela porušenie údajov, ktoré postihlo 100 miliónov ľudí v Spojených štátoch a 6 miliónov v Kanade.
Spoločnosť uviedla v a vyhlásenie že údaje medzi rokmi 2005 a 2019 boli prístupné a týkali sa informácií o spotrebiteľoch v čase, keď žiadali o kreditnú kartu.
„Tieto informácie zahŕňali osobné informácie, ktoré Capital One bežne zhromažďuje v čase, keď prijíma žiadosti o kreditné karty, vrátane mien, adries, poštových smerovacích čísel, telefónnych čísel, e-mailových adries, dátumov narodenia a vlastného príjmu,“ uviedla spoločnosť.
„Okrem údajov žiadosti o kreditnú kartu jednotlivec získal aj časti údajov o zákazníkoch kreditnej karty, vrátane: údajov o stave zákazníka, napr. kreditného skóre, úverových limitov, zostatkov, histórie platieb, kontaktov informácie; Fragmenty transakčných údajov z celkovo 23 dní počas rokov 2016, 2017 a 2018.“
Sprístupnil sa aj približne 1 milión kanadských čísel sociálneho poistenia, ako aj 140 000 amerických čísel sociálneho zabezpečenia a 80 000 čísel bankových účtov.
"Žiadne čísla bankových účtov ani čísla sociálneho poistenia neboli ohrozené," uviedla banka pred uvedením vyššie uvedených čísel.
Capital One uviedla, že sa o prístupe dozvedela 19. júla a že „okamžite opravila zraniteľnosť konfigurácie, ktorú tento jednotlivec zneužil“. Dodal, že osoba, ktorá mala prístup k záznamom, je teraz zatknutá a vo väzbe.
"Na základe našej doterajšej analýzy sa domnievame, že je nepravdepodobné, že by tieto informácie boli použité na podvod alebo boli šírené touto osobou," uviedla spoločnosť.
"Budeme však pokračovať vo vyšetrovaní."
Pozri tiež: Iba tri globálne banky získali od ImmuniWeb najvyššie skóre bezpečnosti webových stránok
Dodal, že zraniteľnosť konfigurácie bola odhalená externým bezpečnostným výskumníkom, čo viedlo k internému vyšetrovaniu a odhaleniu incidentu.
Hoci Capital One uviedol, že jeho údaje sú zašifrované, útočníkovi sa ich podarilo dešifrovať.
"Našou praxou je tiež tokenizovať vybrané dátové polia, najmä čísla sociálneho poistenia a čísla účtov," povedal Capital One.
„Tokenizácia zahŕňa nahradenie citlivého poľa kryptograficky vygenerovanou náhradou. Spôsob a kľúče na odomknutie tokenizovaných polí sa líšia od tých, ktoré sa používajú na šifrovanie údajov. Tokenizované údaje zostali chránené."
Očakáva sa, že dopad porušenia bude v roku 2019 medzi 100 až 150 miliónmi dolárov, dodala spoločnosť.
V samostatnom oznámenieÚrad amerického prokurátora pre západný obvod Washingtonu uviedol, že v súvislosti s porušením zatkol „bývalého softvérového inžiniera technologickej spoločnosti v Seattli“. Obvinená podozrivá Paige Thompsonová, ktorá používa rukoväť nepravidelne, sa v pondelok objavila na americkom okresnom súde a čaká na vypočutie 1. augusta.
Thompson údajne zverejnila o incidente na GitHub, pričom prokuratúra uviedla, že jej prístup bol spôsobený nesprávne nakonfigurovaným firewallom webovej aplikácie.
Sťažnosť podaná na súde ukazuje, že Capital One bol upozornený na únik vedra S3 a uvádza sa konfigurácia brány firewall umožňovala spúšťanie príkazov na serveri, ktorý umožňoval prístup k „buckets of údaje“.
Ďalej uvádza, že spoločnosť Capital One overila, že Thompson mal zoznam viac ako 700 svojich vedier a denníky banky ukázali pokusy o pripojenie z výstupných uzlov Tor, ktoré sa zhodovali s IP adresou, čo spôsobilo nepravidelné používanie účtu brány firewall vedierka. Ďalšie príkazy boli tiež vytvorené z IP adries, ktoré patrili poskytovateľovi VPN, ktorého je Thompson zákazníkom, tvrdí USA.
Sťažnosť tiež tvrdí, že na základe životopisu nahraného na GitLab Thompson v minulosti pracoval v zapojená cloudová spoločnosť a tvrdí, že Thompson poslala zoznam súborov, ktoré vlastní, Slacku kanál.
"Mám rád > ipredator > tor > s3 na všetkých tých sračkách," na snímke obrazovky sťažnosti používateľa Slacku, ktorý nazval nevyspytateľný výrok.
Pri prehľadávaní Thompsonovej spálne sa našli "súbory a položky", ktoré odkazovali na Capital One a "The Cloud Computing Company", dodáva sťažnosť.
"Kybernetickým vyšetrovateľom sa podarilo identifikovať Thompsona ako osobu, ktorá informovala o krádeži údajov," uviedol úrad.
"Dnes ráno agenti vykonali príkaz na prehliadku v Thompsonovej rezidencii a zhabali elektronické pamäťové zariadenia obsahujúce kópiu údajov."
"Capital One rýchlo upozornil orgány činné v trestnom konaní na krádež údajov, čo umožnilo FBI vystopovať prienik," povedal americký prokurátor Moran.
"Chválim našich partnerov činných v trestnom konaní, ktorí robia všetko pre to, aby určili stav údajov a zabezpečili ich."
Úrad dodal, že počítačové podvody a zneužitie sa trestá piatimi rokmi väzenia a pokutou 250 000 dolárov.
Aktualizácia o 10:17 AEST, 30. júla 2019: Pridané ďalšie informácie od amerického prokurátora.
Aktualizácia o 10:55 AEST, 30. júla 2019: Doplnené ďalšie informácie zo sťažnosti.
Súvisiace pokrytie
Hackeri sa zameriavajú na 62 amerických vysokých škôl využívaním zraniteľnosti ERP
Útoky zlyhali; Ministerstvo školstva však upozorňuje vysoké školy na prebiehajúce pokusy o vykorisťovanie.
Porušenie údajov spoločnosti Sephora zasiahlo zákazníkov v juhovýchodnej Ázii a ANZ
Niektoré osobné informácie, ako je meno a priezvisko, dátum narodenia, pohlavie, e-mailová adresa a šifrované heslo, ako aj údaje súvisiace s preferenciami krásy, mohli byť odhalené.
Brazílski používatelia bankovníctva vystavení úniku 250 GB údajov
Poskytovateľ finančných služieb zverejnil osobné údaje potenciálnych a súčasných klientov rôznych miestnych bankových inštitúcií.
Ako môžu podniky znížiť finančný dopad narušenia údajov (TechRepublic)
Náklady na únik údajov vzrástli za posledných 5 rokov o 12 % a dosiahli v priemere 3,92 milióna dolárov. Podľa novej správy môžu organizácie podniknúť kroky na zmiernenie finančných škôd.