Uno dei maggiori emittenti di carte di credito del paese, Capital One finanziario, è l'ultima grande impresa colpita da una violazione dei dati, rivelando che a circa 100 milioni di persone sono state rubate alcune informazioni personali da un hacker.

Il presunto hacker, Paige A. Thompson, ottenuto numeri di previdenza sociale e di conto bancario in alcuni casi, così come altre informazioni come nomi, date di nascita, punteggi di credito e reddito autodichiarato, la banca ha detto lunedì. Ha detto che nessun numero di conto della carta di credito o credenziali di accesso è stato compromesso.

Capital One Financial è solo l'ultima azienda a subire una violazione dei dati. Solo la scorsa settimana Equifax, la società di informazioni creditizie, ha annunciato un accordo da 700 milioni di dollari per la propria violazione dei dati del 2017 che ha colpito metà della popolazione degli Stati Uniti. Altre società che hanno subito violazioni includono la catena alberghiera Marriott, giganti del commercio al dettaglio Home Depot e Target.

COSA È SUCCESSO?

Thompson, 33, chi usa l'handle online "erratic, " avrebbe ottenuto l'accesso ai dati di Capital One archiviati sulla piattaforma di cloud computing di Amazon Amazon Web Services a marzo. Ha scaricato i dati e li ha archiviati sui propri server, secondo la denuncia.

Thompson è stato un ingegnere di sistema presso Amazon Web Services tra il 2015 e il 2016, circa tre anni prima della violazione. La violazione è passata inosservata ad Amazon e Capital One.

Thompson ha utilizzato il browser web anonimo Tor e una rete privata virtuale per estrarre i dati, metodi tipici utilizzati dagli hacker per cercare di mascherare le infiltrazioni, ma in seguito si è vantata dell'hack su Twitter e di un gruppo di chat su Slack, postando screenshot come prova del suo exploit.

È stato solo dopo che Thompson ha iniziato a vantarsi della sua impresa in una chat di gruppo privata con altri hacker che qualcuno ha contattato Capital One per farglielo sapere il 17 luglio.

Una volta che l'informatore ha detto a Capital One che la società ha chiuso la vulnerabilità. La società ha verificato che le sue informazioni erano state rubate entro il 19 luglio e ha iniziato a rintracciare Thompson e a lavorare con l'FBI. Lunedì l'FBI ha fatto irruzione nella residenza di Thompson e ha sequestrato dispositivi digitali. Una ricerca iniziale ha rivelato file che facevano riferimento a Capital One e ad "altre entità che potrebbero essere state bersagli di intrusioni di rete tentate o effettive".

COSA HA PRESO THOMPSON?

La violazione dei dati coinvolge circa 100 milioni di persone negli Stati Uniti e 6 milioni in Canada.

I pubblici ministeri hanno affermato che un firewall Capital One configurato in modo errato ha consentito a Thompson di accedere alle cartelle di dati che Amazon Web Services stava ospitando per la banca. Thompson ha inviato un comando che ha restituito un elenco di oltre 700 cartelle e ha copiato i dati da un numero non specificato di esse. Capital One ha affermato che la maggior parte dei dati hackerati consisteva in informazioni fornite da consumatori e piccole imprese che hanno richiesto carte di credito tra il 2005 e l'inizio del 2019. L'hacker è stato anche in grado di accedere a frammenti di informazioni transazionali risalenti a date nel 2016. 2017 e 2018.

La banca ha affermato di ritenere improbabile che le informazioni ottenute siano state utilizzate per frode, ma le indagini sono in corso.

La maiuscola dice 140, 000 persone hanno avuto accesso ai loro numeri di previdenza sociale, e altri 80, 000 hanno avuto accesso alle informazioni del loro conto bancario.

IN CHE MODO CAPITAL ONE HA GESTITO LA VIOLAZIONE?

Capital One dice che una volta appreso della violazione il 17 luglio, ha immediatamente chiuso la vulnerabilità, ed è stato in grado di capire a cosa ha avuto accesso Thompson 36 ore dopo, il 19 luglio. La società è stata in grado di costruire un profilo su Thompson dalla loro indagine interna, e l'ha consegnato all'FBI, che l'ha arrestata 10 giorni dopo, il giorno in cui la banca ha comunicato la violazione.

Al contrario, ci sono volute sei settimane Equifax prima che rivelasse pubblicamente il suo incidente di sicurezza, che era di dimensioni simili.

COSA FARE

Capital One ha affermato che raggiungerà le persone colpite utilizzando "una varietà di canali".

Quella banca ha affermato che metterà a disposizione di tutti gli interessati il ​​monitoraggio del credito e la protezione dell'identità gratuiti. La società ha anche affermato che i consumatori possono visitare www.capitalone.com/facts2019 per ulteriori informazioni. In Canada, informazioni sono disponibili su www.capitalone.ca/facts2019 .

I consumatori dovrebbero anche ottenere copie dei loro rapporti di credito su AnnualCreditReport.com. Per legge federale, i consumatori possono ricevere una copia gratuita del loro rapporto di credito ogni 12 mesi da ciascuna delle tre grandi agenzie:Equifax, Experian e TransUnion.

Controlla tutti i tuoi conti e prestiti elencati per assicurarti che tutte le tue informazioni personali siano corrette e che tu abbia autorizzato la transazione. Se trovi qualcosa di sospetto, contattare la società che ha emesso il conto e l'agenzia di rating del credito.

Potresti anche considerare di congelare il tuo credito, che impedisce ai ladri di aprire nuove carte di credito o prestiti a tuo nome. Questo può essere fatto online. I consumatori possono congelare il credito gratuitamente grazie a una legge firmata lo scorso anno dal presidente Donald Trump. Prima di ciò, le commissioni erano in genere da $ 5 a $ 10 per agenzia di rating.

Dovrai ricordarti di sbloccare temporaneamente il tuo credito se richiedi una nuova carta di credito o un prestito. Inoltre, tieni presente che un blocco del credito non ti proteggerà dai ladri che presentano una dichiarazione dei redditi fraudolenta a tuo nome o che effettuano addebiti su un account esistente.

Dovresti anche cambiare le tue password regolarmente. L'analista del settore CreditCards.com Ted Rossman consiglia di utilizzare un aggregatore di password come LastPass che aiuta a creare password univoche per tutti i tuoi accessi.

© 2019 The Associated Press. Tutti i diritti riservati.