36-летнюю бывшую сотрудницу Amazon признали виновной во взломе компании Capital One, которая привела к утечке данных 106 млн человек в 2019 году. По совокупности всех обвинений Пейдж Томпсон грозит до 25 лет лишения свободы.

Напомню, что о компрометации американского банка Capital One и утечке данных 106 млн пользователей стало известно в июне 2019 года. Тогда на сторону утекли данные пользователей, которые обращались в банк за получением кредитной карты в период с 2005 по 2019 год. В том числе имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, даты рождения и данные о доходах.

Также утечка коснулась информации о кредитных картах клиентов банка, то есть данные о кредитных рейтингах и лимитах, сальдо, истории платежей, а также контактную информацию и фрагменты транзакций за 23 дня в 2016, 2017 и 2018 годах. Кроме того, сообщалось, что взломщик получил доступ к миллиону канадских номеров социального страхования, более 140 000 американских номеров социального страхования и 80 000 номеров банковских счетов.

Тогда в связи со взломом Capital One правоохранительные органы задержали 33-летнюю жительницу Сиэтла Пейдж А. Томпсон (известную в сети под псевдонимом Erratic), бывшую сотрудницу Amazon Web Services Inc.

Дело в том, что Томпсон упомянула компрометацию Capital One в комментариях на GitHub, а для проникновения в сеть воспользовалась неверной конфигурацией брандмауэра. Вскоре на слова Томпсон обратил внимание бдительный пользователь, уведомивший о происходящем представителей банка, что в итоге и привело к ее аресту.

Хуже того, после ареста выяснилось, что компрометацией одного только Capital One дело не ограничилось. Так, во время обыска в доме Томпсон правоохранители изъяли серверы, на которых обнаружилась не только похищенная у Capital One информация, но и несколько терабайт данных, украденных более чем у 30 других компаний, образовательных учреждений и прочих организаций.

Правоохранители не разглашали названий пострадавших компаний, но, судя по сообщениям СМИ, среди них могли быть Unicredit, Vodafone, Ford, Университет штата Мичиган, Департамент транспорта Огайо и так далее.

В итоге Пейдж Томпсон предъявили обвинения в мошенничестве с использованием электронных средств связи, компьютерном мошенничестве и злоупотреблениях в отношении Capital One и более 30 других организаций.

Следователи сообщали, что Томпсон создала некий инструмент, с помощью которого сканировала интернет в поисках неправильно настроенных серверов AWS, позволявших кому угодно получить доступ к данным, хранящимся на них. Более того, согласно судебным документам, Томпсон не только похищала информацию, но и использовала скомпрометированные серверы AWS для майнинга криптовалюты.

Как сообщают теперь представители Министерства юстиции США, в ходе семидневного судебного разбирательства присяжные сняли с Томпсон ряд обвинений, включая мошенничество с устройствами доступа и кражу личных данных при отягчающих обстоятельствах, однако признали виновной.

Вынесение приговора назначено на 15 сентября 2022 года, но по совокупности оставшихся обвинений взломщице грозит наказание до 25 лет тюрьмы. При этом ее попытки упирать на то, что она – этичный хакер и ИБ-исследователь, очевидно, не увенчались успехом. В суде сторона обвинения заявила, что Томпсон — «хотела [украсть] данные, хотела денег и хотела похвастаться».

«Мисс Томпсон использовала свои хакерские навыки для кражи личной информации более 100 миллионов человек и захватила компьютерные серверы для майнинга криптовалюты, — комментирует прокурор Ник Браун. — Это явно не этичный хакер, пытающийся помочь компаниям с их компьютерной безопасностью. Она использовала уязвимости для кражи ценных данных и стремилась обогатиться».

Источник: xakep