אחד מאירועי הדליפה הגדולים: האקרית גנבה פרטי 106 מיליון חשבונות בנק
כתב אישום נגד מהנדסת תוכנה מסיאטל מעלה שהיא שמה את ידה על שמות, מספרי חשבונות בנק וביטוח לאומי, מסגרות אשראי ועוד - של אזרחים אמריקניים וקנדיים ● ייתכן כי היא הצליחה לעשות זאת בשל ליקוי במערכות AWS - אם כי באמזון מכחישים
באחד מאירועי דליפת הנתונים הגדול ביותר אי פעם, האקרית השיגה גישה ליותר מ-100 מיליון חשבונות לקוחות בנק קפיטל וואן – כך על פי דיווחים שפורסמו הבוקר (ג').
משרד המשפטים האמריקני הגיש כתב אישום נגד פייג' תומפסון, מהנדסת תוכנה בת 33 מסיאטל. על פי הבנק והמשרד, היא פרצה לשרת של קפיטל וואן, וכך השיגה גישה ל-140 אלף מספרי ביטוח לאומי בארצות הברית, מיליון מספרי ביטוח לאומי קנדיים וכ-80 אלף מספרי חשבון בנק. זאת, בנוסף למספר לא ידוע של שמות, כתובות, דירוגי אשראי, מסגרות אשראי, יתרות ומידע אחר. כך, הפריצה עלולה להשפיע וכוללת נתונים פרטיים על 100 מיליון אמריקנים ושישה מיליון קנדים.
בכתב האישום נגדה נטען כי תומפסון ניסתה לחלוק את המידע הגנוב שברשותה עם אחרים ברשת, שם היא נהגה לכנות את עצמה erratic – לא יציבה. היא עבדה בעבר כמהנדסת תוכנה ב-AWS, שקפיטל וואן התארחה על שרתי הענן שלה. תומפסון, כך נטען, הצליחה להשיג את הגישה לנתונים על ידי ניצול תצורה שגויה של הפיירוול. בכתב האישום לא צוין במפורש שמה של AWS, אולם על פי קפיטל וואן, הנתונים נגנבו במרץ השנה, בשל בעיה בשרתי ספקית הענן מבית אמזון. כך או כך, גורמים רשמיים מסרו כי דליפות נתונים של קפיטל וואן הועלו בתחילה לאתר גיטהאב, ששייך למיקרוסופט.
אמזון מסרה בתגובה לניוזוויק כי "שרתי הענן שלנו לא נפרצו" וכי "לקוחותינו הם אלה שאחראים לאפליקציות שלהם". לפי AWS, היא "לא נפרצה בשום צורה שתוארה. החודרת הצליחה להשיג את הגישה לנתונים בשל תצורה שגויה בפיירוול ולא דרך תשתיות הענן שלנו. כפי שקפיטל וואן הסביר כבר קודם, סוג כזה של ניצול פרצה אינו אופייני רק לענן".
הנאשמת: "חגרתי על עצמי אפוד עם פצצה"
על פי כתב האישום, תומפסון איימה להפיץ את הנתונים שהשיגה מהבנק. כך, במהלך שיחת Slack שערכה ביוני, היא כתבה: "בעצם חגרתי על עצמי אפוד עם פצצה. אני אxxין את קפיטל וואן הנופלת, ומודה בזה. אני רוצה לחלוק את מאגרי הנתונים שברשותי". היא ציינה כי בקבצים היו מספרי ביטוח לאומי, שמות מלאים ותאריכי לידה.
תומפסון הואשמה בסעיף של הונאת מחשבים וניצול. על פי משרד המשפטים בוושינגטון, העונש בגין עבירה זו עומד על עד חמש שנות מאסר וקנס של רבע מיליון דולר. השימוע של תומפסון יתקיים ב-1 באוגוסט.
מקפיטל וואן נמסר כי הפריצה התרחשה ב-22 וב-23 במרץ. הבנק ציין שאנשיו תיקנו את הפגיעות וכי הוא עדיין חוקר את האירוע.
תגובות
(0)