El FBI arrestó a una ingeniero de software de 33 años en Seattle como parte de una investigación sobre la violación masiva de datos en la compañía de servicios financieros Capital One.

Paige A. Thompson, también conocida por el identificador online «erratic», ha sido acusada de un cargo de fraude y abuso informático, después de que una investigación descubriera que un pirata informático había entrado en servidores en la nube administrados por Capital One y robó datos relacionados con más de 100 millones de solicitudes de tarjetas de crédito.

La información expuesta, según Capital One, incluía datos recopilados en solicitudes de tarjetas de crédito entre 2005 y principios de 2019, tales como:

  • nombres
  • direcciones
  • códigos postales / códigos postales
  • números de teléfono
  • correos electrónicos
  • fechas de nacimiento
  • ingresos

Más allá de los datos de la solicitud de la tarjeta de crédito, el pirata informático también obtuvo partes de los datos del cliente de la tarjeta de crédito, que incluyen:

  • Datos del estado del cliente, por ejemplo, puntajes de crédito, límites de crédito, saldos, historial de pagos, información de contacto
  • Fragmentos de datos de transacciones de un total de 23 días durante 2016, 2017 y 2018

Capital One dice que también se violaron alrededor de 140.000 números de la Seguridad Social y aproximadamente 80.000 números de cuentas bancarias vinculadas de sus clientes de tarjetas de crédito aseguradas.

En un comunicado publicado en su sitio web, Capital One culpa a una «vulnerabilidad de configuración» por la violación de seguridad que permitió al hacker acceder a la información confidencial.

Capital One determinó el 19 de julio que una parte externa había logrado acceder a sus sistemas sin autorización, y comenzó a trabajar con la policía federal.

Sin embargo, parece que la investigación solo comenzó después de que un investigador de seguridad que conocía al presunto pirata informático envió un correo electrónico al programa de divulgación responsable de la empresa dos días antes, diciéndole a la compañía que había datos confidenciales de su Amazon Web Services S3 bucket basado en la nube en Github.

 

La cuenta de Github que almacenaba los datos robados estaba a nombre de «paigeadelethompson».

Quizás por coincidencia, el currículum online de Paige Thompson (que contiene su nombre completo, dirección y número de teléfono) dice que fue ingeniera de sistemas de Amazon S3 desde mayo de 2015 hasta septiembre de 2016.

Según el FBI, una investigación más profunda descubrió mensajes directos privados de Twitter entre Thompson y la persona que finalmente informó a Capital One sobre la violación, así como las conversaciones en un grupo Slack.

Armado con esta y otra información, el FBI no tardó mucho en localizar a su sospechoso y arrestarla ayer en la casa donde vive en Beacon Hill, sureste de Seattle. Durante una búsqueda en la habitación de Thompson, el FBI confiscó varios dispositivos, que según se afirma contenían archivos que hacían referencia a Capital One, Amazon y su alias «erratic».

Descargar 100 millones de registros no suena como el tipo de comportamiento que esperaría ver si alguien intentara dar la alarma sobre un problema de configuración. Es perfectamente posible demostrar que existe un problema de seguridad sin robar ese volumen de datos.

En un comunicado de prensa , el presidente y CEO de Capital One se disculpa con los clientes afectados y los solicitantes de tarjetas de crédito:

«Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió», dijo Richard D. Fairbank, presidente y director ejecutivo. «Pido disculpas sinceramente por la comprensible preocupación que este incidente debe estar causando a los afectados y estoy comprometido a corregirlo».

La compañía dice que no cree que los datos pirateados hayan sido utilizados para fraude o diseminados, pero que continuará cooperando con las autoridades e investigando. Capital One dice que el monitoreo de crédito gratuito y la protección de identidad estarán disponibles para todos los afectados.

Europol cierra más de 30.500 sitios web de piratería

Europol cierra más de 30.500 sitios web de piratería

En una operación coordinada de aplicación de la ley a nivel mundial, Europol ha eliminado más de 30.500 sitios web para distribuir artículos falsificados y pirateados a través de Internet y arrestado a tres sospechosos. Entre otras cosas, los dominios incautados...

Crear formularios online en 5 minutos y sin ningún coste

Crear formularios online en 5 minutos y sin ningún coste

 oImagino que no soy el único que ha probado multitud de plugins para crear formularios online y ha terminado utilizando el básico Contact Form. El problema del Contact Form no solo radica en sus reducidas opciones, si no en que su adaptabilidad es pésima. Y a día de...

¿Qué es el principio de Pareto? cómo aplicarlo en mi web

¿Qué es el principio de Pareto? cómo aplicarlo en mi web

Lo más probable es que hayas oído hablar del Principio de Pareto. ¿Pero lo entiendes ? Tiene varios nombres: "la regla 80-20", "la ley de los pocos vitales" y "el principio de la escasez de factores". Tiene implicaciones de largo alcance. Y su idea es simple, pero...