El FBI arrestó a una ingeniero de software de 33 años en Seattle como parte de una investigación sobre la violación masiva de datos en la compañía de servicios financieros Capital One.
Paige A. Thompson, también conocida por el identificador online "erratic", ha sido acusada de un cargo de fraude y abuso informático, después de que una investigación descubriera que un pirata informático había entrado en servidores en la nube administrados por Capital One y robó datos relacionados con más de 100 millones de solicitudes de tarjetas de crédito.
La información expuesta, según Capital One, incluía datos recopilados en solicitudes de tarjetas de crédito entre 2005 y principios de 2019, tales como:
Más allá de los datos de la solicitud de la tarjeta de crédito, el pirata informático también obtuvo partes de los datos del cliente de la tarjeta de crédito, que incluyen:
Capital One dice que también se violaron alrededor de 140.000 números de la Seguridad Social y aproximadamente 80.000 números de cuentas bancarias vinculadas de sus clientes de tarjetas de crédito aseguradas.
En un comunicado publicado en su sitio web, Capital One culpa a una "vulnerabilidad de configuración" por la violación de seguridad que permitió al hacker acceder a la información confidencial.
Capital One determinó el 19 de julio que una parte externa había logrado acceder a sus sistemas sin autorización, y comenzó a trabajar con la policía federal.
Sin embargo, parece que la investigación solo comenzó después de que un investigador de seguridad que conocía al presunto pirata informático envió un correo electrónico al programa de divulgación responsable de la empresa dos días antes, diciéndole a la compañía que había datos confidenciales de su Amazon Web Services S3 bucket basado en la nube en Github.
La cuenta de Github que almacenaba los datos robados estaba a nombre de "paigeadelethompson".
Quizás por coincidencia, el currículum online de Paige Thompson (que contiene su nombre completo, dirección y número de teléfono) dice que fue ingeniera de sistemas de Amazon S3 desde mayo de 2015 hasta septiembre de 2016.
Según el FBI, una investigación más profunda descubrió mensajes directos privados de Twitter entre Thompson y la persona que finalmente informó a Capital One sobre la violación, así como las conversaciones en un grupo Slack.
Armado con esta y otra información, el FBI no tardó mucho en localizar a su sospechoso y arrestarla ayer en la casa donde vive en Beacon Hill, sureste de Seattle. Durante una búsqueda en la habitación de Thompson, el FBI confiscó varios dispositivos, que según se afirma contenían archivos que hacían referencia a Capital One, Amazon y su alias "erratic".
Descargar 100 millones de registros no suena como el tipo de comportamiento que esperaría ver si alguien intentara dar la alarma sobre un problema de configuración. Es perfectamente posible demostrar que existe un problema de seguridad sin robar ese volumen de datos.
En un comunicado de prensa , el presidente y CEO de Capital One se disculpa con los clientes afectados y los solicitantes de tarjetas de crédito:
"Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió", dijo Richard D. Fairbank, presidente y director ejecutivo. "Pido disculpas sinceramente por la comprensible preocupación que este incidente debe estar causando a los afectados y estoy comprometido a corregirlo".
La compañía dice que no cree que los datos pirateados hayan sido utilizados para fraude o diseminados, pero que continuará cooperando con las autoridades e investigando. Capital One dice que el monitoreo de crédito gratuito y la protección de identidad estarán disponibles para todos los afectados.