Capital One ha avvisato le autorità di una violazione dei dati che ha colpito più di 100 milioni di clienti, con conseguente arresto di uno sviluppatore di software della costa occidentale
La massiccia violazione dei dati a Capital One sembrava essere un attacco non sofisticato da parte di un singolo hacker, sollevando domande sulla sicurezza del sistema finanziario e sulle minacce interne al cloud computing.
Il motivo alla base della violazione e l'entità del suo impatto sono rimasti poco chiari martedì, un giorno dopo che gli agenti dell'FBI hanno arrestato la 33enne ex web engineer Paige Thompson accusandola di aver rubato dati da oltre 100 milioni di richieste di carte di credito dalla decima banca statunitense.
"La sorpresa più grande è la natura amatoriale dell'attacco, ", ha affermato John Dickson della società di consulenza sulla sicurezza Denim Group.
Dickson ha affermato che è "assolutamente sconvolgente" che un singolo aggressore possa accedere a così tanti dati in una delle più grandi istituzioni finanziarie statunitensi.
"Questo potrebbe avere un impatto importante sulla fiducia nel sistema bancario".
L'hack di Capital One sembra essere diverso dalle principali violazioni della società di monitoraggio del credito Equifax, il gigante di Internet Yahoo e altri gravi incidenti che sono stati attribuiti a sofisticate entità stato-nazione.
Le autorità statunitensi hanno affermato che Thompson, un ex dipendente di Amazon Web Services, è stata arrestata sulla base di una soffiata dopo essersi vantata di accedere ai dati sul sito di condivisione di software GitHub, nonché su Twitter e Slack.
Darren Hayes, un professore di informatica della Pace University specializzato in sicurezza informatica, ha affermato che la capacità di arrestare e perseguire rapidamente un aggressore in questo tipo di casi è insolita.
"La maggior parte di questi casi sono perpetrati da hacker in altri paesi, " Egli ha detto.
I peggiori furti di dati personali per numero di vittime
"Le brave persone sono diventate cattive"
Hayes ha affermato che l'incidente evidenzia il rischio di attacchi "insider" quando dipendenti fidati si rivolgono al furto.
"È difficile catturare persone buone andate male, quindi molte banche lo cercano ora" con strumenti di intelligenza artificiale per rilevare anomalie nel comportamento dei dipendenti, ha detto Hayes.
Capital One ha affermato che l'incidente ha colpito circa 100 milioni di clienti statunitensi e sei milioni in Canada, con ben 140, 000 numeri di previdenza sociale statunitensi e un milione di canadesi compromessi.
Solo alcuni dei dati sono stati crittografati, ma Capital One ha affermato di non avere alcuna indicazione che i dati siano stati trasferiti o venduti dove potrebbe essere dannoso per i clienti.
Ancora, Hayes ha affermato di vedere un rischio di perdita di dati che potrebbe finire per compromettere i clienti delle banche.
"La mia sensazione è che assisteremo a molte azioni legali collettive e la società potrebbe essere responsabile per molti danni, " Egli ha detto.
La notizia della violazione di Capital One arriva dopo che l'agenzia di monitoraggio del credito statunitense Equifax la scorsa settimana ha accettato di pagare fino a 700 milioni di dollari per risolvere un incidente simile che ha colpito la società nel 2017, interessando quasi 150 milioni di clienti.
Il procuratore generale dello Stato di New York, Letitia James, ha affermato che il suo ufficio sta aprendo una propria indagine.
"Il mio ufficio avvierà un'indagine immediata sulla violazione di Capital One, e lavorerà per garantire che i newyorkesi che sono stati vittime di questa violazione ricevano sollievo, " disse Giacomo.
Capital One ha affermato che un hacker ha ottenuto l'accesso non autorizzato ai dati dei clienti del gigante bancario da un firewall configurato in modo errato
"Obiettivo più facile"
Dylan Gilbert del gruppo di consumatori Public Knowledge ha affermato che la notizia solleva interrogativi sulle procedure di sicurezza della grande banca.
"Perché Capital One non ha crittografato completamente questi dati, e perché l'azienda non ha collocato questa vasta raccolta di informazioni personali dietro un firewall configurato correttamente?" ha detto Gilbert.
"La sicurezza è una sfida e gli errori accadono, ma purtroppo per i consumatori, le aziende non hanno alcun incentivo a impegnarsi nelle migliori pratiche di sicurezza informatica quando la punizione si presenta sotto forma di sanzioni pecuniarie che possono essere considerate come un mero costo per fare affari".
Giuseppe Sala, capo tecnologo presso il Center for Democracy &Technology, ha affermato che l'incidente evidenzia il rischio di dipendere troppo dal cloud computing, che memorizza grandi quantità di dati nei server.
"Il fatto che ci siano molti più dati nel cloud lo rende un obiettivo più facile, "Ha detto Sala.
"Se i servizi cloud sono configurati in modo errato, è relativamente facile per qualcuno che passa trarne vantaggio".
Il curriculum online di Thompson indica che ha lasciato Amazon nel 2016, e non vi era alcuna indicazione che il cloud AWS stesso fosse responsabile della violazione.
"AWS non è stato compromesso in alcun modo e ha funzionato come previsto, "Amazon ha detto in una nota.
"L'autore ha ottenuto l'accesso tramite una configurazione errata dell'applicazione web e non l'infrastruttura basata su cloud sottostante. Come ha spiegato chiaramente Capital One nella sua divulgazione, questo tipo di vulnerabilità non è specifico del cloud."
© 2019 AFP