36-летнюю бывшую сотрудницу Amazon признали виновной во взломе компании Capital One. Ее действия привели к утечке данных 106 миллионов человек в 2019 году. Теперь Пейдж Томпсон грозит длительное заключение.
Capital One — американская банковская холдинговая компания, специализирующаяся на кредитных картах и автокредитах. В 2019 году ее данные были скомпрометированы. Произошла масштабная утечка информации о пользователях, которые обращались в банк за получением кредитной карты в период с 2005 по 2019. В том числе имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, даты рождения и данные о доходах. Тогда правоохранители задержали жительницу Сиэтла Пейдж Томпсон, известную в сети под псевдонимом Erratic. Раньше она работала на Amazon Web Services Inc.
Кроме всего прочего, утечка коснулась информации о кредитных картах клиентов банка: кредитные рейтинги и лимиты, сальдо, истории платежей, а также контактная информация и фрагменты транзакций за 23 дня в 2016, 2017 и 2018 годах. В руки преступницы попал миллион канадских номеров социального страхования, более 140 000 американских номеров социального страхования и 80 000 номеров банковских счетов.
Томпсон сама привела к себе правоохранителей. Она упомянула компрометацию Capital One в комментариях на GitHub, а для проникновения в сеть воспользовалась неверной конфигурацией брандмауэра. Вскоре на слова Томпсон обратил внимание зоркий пользователь, а позже обратился к представителям банка.
Уже после ареста выяснилось, что компрометацией одного только Capital One дело не ограничилось. Так, во время обыска в доме Томпсон правоохранители изъяли серверы, на которых оказалась не только похищенная у Capital One информация, но и несколько терабайтов данных, украденных более чем у 30 других компаний, учебных заведений и других организаций. Правоохранители не разглашали названий пострадавших компаний, но судя по сообщениям СМИ, среди них могли быть Unicredit, Vodafone, Ford, Университет штата Мичиган и Департамент транспорта Огайо. Кроме того, Томпсон не только похищала информацию, но и использовала скомпрометированные серверы AWS для майнинга криптовалюты.
Следователи сообщали, что Томпсон создала некий инструмент, с помощью которого сканировала интернет в поисках неправильно настроенных серверов Amazon Web Services. Брешь в безопасности позволяла кому угодно получить доступ к данным, хранящимся на серверах.
Вынесение приговора назначено на 15 сентября 2022 года. По совокупности обвинений Пейдж Томпсон грозит наказание до 25 лет тюрьмы. Ее попытки убедить, что она — нравственный хакер и исследователь информационной безопасности, явно не увенчались успехом.