Les procureurs fédéraux ont accusé cette semaine une femme de Seattle d’avoir volé les données de plus de 100 millions de demandes de crédit faites avec Société financière Capital One. Incroyablement, une grande partie de cette violation s’est déroulée publiquement pendant plusieurs mois sur les réseaux sociaux et d’autres plateformes en ligne ouvertes. Ce qui suit est un examen plus approfondi de l’accusé et de ce que cet incident peut signifier pour les consommateurs et les entreprises.
Paige « erratique » Thompson, sur une photo non datée publiée sur sa chaîne Slack.
Le 29 juillet, des agents du FBI ont arrêté Paige A. Thompson soupçonné d’avoir téléchargé près de 30 Go de données de demande de crédit Capital One à partir d’un serveur de données cloud loué. Capital One a déclaré que l’incident avait touché environ 100 millions de personnes aux États-Unis et 6 millions au Canada.
Ces données comprenaient environ 140 000 numéros de sécurité sociale et environ 80 000 numéros de compte bancaire de consommateurs américains, et environ 1 million de numéros d’assurance sociale (NAS) pour les clients canadiens titulaires d’une carte de crédit.
« Il est important de noter qu’aucun numéro de compte de carte de crédit ou identifiant de connexion n’a été compromis et que plus de 99% des numéros de sécurité sociale n’ont pas été compromis », a déclaré Capital One dans une déclaration publiée sur son site.
« La plus grande catégorie d’informations consultées était celle des consommateurs et des petites entreprises au moment où ils ont demandé l’un de nos produits de carte de crédit de 2005 au début de 2019 », poursuit le communiqué. « Ces informations comprenaient des informations personnelles que Capital One collecte régulièrement au moment où elle reçoit des demandes de carte de crédit, y compris les noms, adresses, codes postaux / codes postaux, numéros de téléphone, adresses e-mail, dates de naissance et revenus autodéclarés. »
Le FBI affirme que Capital One a appris le vol à partir d’un conseil envoyé par e-mail le 17 juillet, qui a alerté l’entreprise que certaines de ses données divulguées étaient stockées à l’air libre sur la plate-forme de développement logiciel Github. Ce compte Github était pour un utilisateur nommé « Net Crave», qui comprend le curriculum vitae et le nom d’une certaine Paige A. Thompson.
L’astuce qui a alerté Capital One de sa violation de données.
La plainte ne nomme pas explicitement le fournisseur d’hébergement cloud à partir duquel les données de crédit de Capital One ont été extraites, mais elle indique que le CV de l’accusée indique qu’elle a travaillé comme ingénieur système chez le fournisseur entre 2015 et 2016. Ce CV, disponible sur Gitlab icirévèle que le dernier employeur de Thompson était Amazon Inc.
Une enquête plus approfondie a révélé que Thompson a utilisé le surnom « erratique » sur Twitteroù elle a parlé ouvertement pendant plusieurs mois de la recherche d’énormes magasins de données destinés à être sécurisés sur diverses instances Amazon.
L’utilisateur de Twitter publie de manière « erratique » des outils et des processus utilisés pour accéder à diverses instances cloud d’Amazon.
Selon le FBI, Thompson a également utilisé un agent public Se rencontrer groupe sous le même pseudonyme, où elle a invité d’autres personnes à rejoindre un Mou chaîne nommée « Netcrave Communications.”
BreachTrace a pu rejoindre cette chaîne ouverte Slack lundi soir et passer en revue plusieurs mois de publications apparemment faites par Erratic sur sa vie personnelle, ses intérêts et ses explorations en ligne. L’un des messages les plus intéressants d’Erratic sur la chaîne Slack est un commentaire du 27 juin répertoriant diverses bases de données qu’elle a trouvées en piratant des instances cloud Amazon mal sécurisées.
Cette publication suggère qu’Erratic pourrait également avoir localisé des dizaines de gigaoctets de données appartenant à d’autres grandes entreprises :
Selon les messages d’Erratic sur Slack, les deux éléments de la liste ci-dessus commençant par « ISRM-WAF » appartiennent à Capital One.
Erratic a également publié fréquemment sur Slack ses problèmes d’identité de genre, son manque d’emploi et ses pensées suicidaires persistantes. Dans plusieurs conversations, Erratic fait référence à l’exécution d’une sorte de botnet, bien que la gravité de ces affirmations ne soit pas claire. Plus précisément, Erratic mentionne un botnet impliqué dans le cryptojacking, qui utilise des extraits de code installés sur des sites Web – souvent subrepticement – conçus pour extraire des crypto-monnaies.
Aucune des publications d’Erratic ne suggère que Thompson a cherché à tirer profit de la vente des données extraites de diverses instances cloud d’Amazon auxquelles elle a pu accéder. Mais il semble probable qu’au moins certaines de ces données auraient pu être obtenues par d’autres personnes qui auraient pu suivre ses activités sur différentes plateformes de médias sociaux.
Ray Watsonchercheur en cybersécurité dans une entreprise de sécurité cloud Masergiea déclaré que l’incident de Capital One contient les caractéristiques de nombreuses autres violations de données modernes.
« L’agresseur était un ancien employé de la société d’hébergement Web impliquée, ce qui est souvent appelé des menaces internes », a déclaré Watson. « Elle aurait utilisé les informations d’identification du pare-feu d’application Web pour obtenir une élévation de privilèges. De plus, l’utilisation de Tor et d’un VPN offshore pour l’obfuscation est couramment observée dans des violations de données similaires.
« La bonne nouvelle, cependant, est que Capital One Incidence Response a pu agir rapidement une fois qu’ils ont été informés d’une éventuelle violation via leur programme de divulgation responsable, ce que beaucoup d’autres entreprises ont du mal à faire », a-t-il poursuivi.
Dans la déclaration de Capital One sur l’infraction, le président de la société et PDG Richard D.Fairbank a déclaré que l’institution financière avait corrigé la vulnérabilité de configuration qui avait conduit au vol de données et avait rapidement commencé à travailler avec les forces de l’ordre fédérales.
« Sur la base de notre analyse à ce jour, nous pensons qu’il est peu probable que les informations aient été utilisées à des fins frauduleuses ou diffusées par cet individu », a déclaré Fairbank. « Bien que je sois reconnaissant que l’agresseur ait été arrêté, je suis profondément désolé pour ce qui s’est passé. Je m’excuse sincèrement pour l’inquiétude compréhensible que cet incident doit causer aux personnes touchées et je m’engage à y remédier.
Capital One indique qu’elle informera les personnes concernées via une variété de canaux et mettra à la disposition de toutes les personnes concernées la surveillance gratuite du crédit et la protection de l’identité.
Bloomberg rapports qu’au tribunal lundi, Thompson s’est effondrée et a posé sa tête sur la table de la défense lors de l’audience. Elle est accusée d’un seul chef de fraude informatique et encourt une peine maximale de cinq ans de prison et une amende de 250 000 $. Thompson sera détenue jusqu’à son enquête sur le cautionnement, qui est fixée au 1er août.
Une copie de la plainte contre Thompson est disponible ici.
Mise à jour, 15 h 38 HE: J’ai contacté plusieurs entreprises qui semblent être répertoriées dans la dernière capture d’écran ci-dessus. Infoblox [an advertiser on this site] répondu par la déclaration suivante :
« Infoblox est au courant de l’enquête en cours sur l’attaque de piratage de Capital One, et qu’Infoblox fait partie des sociétés référencées dans les communications en ligne présumées du pirate informatique. Infoblox continue d’enquêter sur l’affaire, mais pour le moment, rien n’indique qu’Infoblox ait été impliqué de quelque manière que ce soit dans la violation signalée de Capital One. De plus, il n’y a aucune indication d’une intrusion ou d’une violation de données impliquant Infoblox entraînant l’exposition des données des clients.