De Amerikaanse bank 'Capital One' is het slachtoffer geworden van een grootschalige hack. De 33-jarige software engineer 'Paige Thompson' stal de persoonlijke gegevens van ongeveer 100 miljoen Amerikanen en 6 miljoen Canadezen. Het is onbekend waarom ze de bank aanviel.
Thompson voerde haar aanval tussen 12 maart en 17 juli uit, schrijft Reuters. Ze wist binnen te komen via een verkeerd geconfigureerde firewall van een web-applicatie. Daarbij stal ze onder meer 140.000 burgerservicenummers, 80.000 gelinkte rekeningnummers en diverse namen, adressen en kredietscores.
Op 19 juli werd de hack ontdekt en Thompson werd opgepakt.
Opscheppen over hack
The New York Times meldt dat Thompson eerder voor Amazon Web Services (AWS) werkte. AWS hostte de database die gehackt werd. Ook host ze een Meetup genaamd 'Seattle Warez Kiddies', dat omschreven wordt als een bijeenkomst voor “eenieder die gedistribueerde systemen, programmeren, hacking en cracking waardeert”.
De activiteiten van Thompson op Meetup werden door de FBI opgemerkt. De inlichtingendienst gebruikte dat om haar andere online activiteiten te vinden. Dat leidde uiteindelijk naar berichten van Thompson over de datadiefstal op Twitter en Slack. Online gebruikte ze de naam ‘erratic’.
De autoriteiten wisten Thompson uiteindelijk te vinden omdat ze op GitHub informatie deelde over de hack. Het web-adres van die pagina bevatte haar volledige naam. Een andere gebruiker zag dat bericht en stelde Capital One op de hoogte van de hack.
FBI en het bewijs
In de aanklacht verwijst de FBI ook naar screenshots van Thompson's berichten naar een anonieme bron, waarin de FBI betoogt dat zij verwijst naar haar voornemen om de gegevens van de hack op de Capital One bank openbaar te maken. "Ik heb mezelf in feite vastgebonden met een bomvest, laat het verdomde kapitaalgoed vallen en geef het toe," zegt het bericht , eraan toevoegend, "ik wil die emmers eerst verdelen, denk ik eerst. Er ... samen met de volledige naam en Division of Banks (dob)."
Schade
Capital One verwacht dat het incident tussen de 100 miljoen en 150 miljoen dollar gaat kosten. Dit is vooral vanwege het op de hoogte stellen van klanten, het monitoren van rekeningen en juridische ondersteuning.
De bank stelt verder op basis van een eigen analyse dat het onwaarschijnlijk is dat de informatie voor fraude is gebruikt of verspreid is.
De CEO van de bank, 'Richard D. Fairbank', biedt in een verklaring zijn excuses aan voor het incident. “Ik bied mijn excuses aan voor de begrijpelijke zorgen die dit incident heeft opgebracht bij getroffen mensen, en ik ben vastbesloten om het recht te zetten.”
Bron: capitalone, fbi, diverse
