Hétfőn jelentette be a Capital One Bank, hogy súlyos hekkertámadás következtében 100 millió amerikai és hatmillió kanadai ügyfél adatai jutottak ki az informatikai rendszeréből. A hekker, akit egyébként azóta el is fogtak, elsősorban nevekhez, címekhez, telefonszámokhoz és hitelminősítési értékelésekhez fért hozzá.

A Reuters információi szerint az amerikai ügyfelek közül mintegy 140 ezernek a társadalombiztosítási azonosítója, 80 ezernek pedig a hitelkártyákhoz kapcsolódó számlaszáma is kompromittálódott. Emellett kb. egymillió kanadai ügyfél társadalombiztosítási azonosítója is kiszivárgott.

Rosszul konfigurált tűzfalon át jött a hekker

A bank ugyanakkor sikerként könyvelte el, hogy a hitelkártya-számok és az ügyfélhitelesítő adatok nem sérültek, illetve társadalombiztosítási számok túlnyomó többségét sem érintette a támadás. A kockázatokat növeli, hogy bank csupán az információk egy részélt tárolta tokenizált vagy titkosított formában (például a társadalombiztosítási számok többségét), de például a hitelkártya igénylőjének nevét, címét, születési idejét és hitelképességüket vonatkozó információkat nem.

A támadást nem akármilyen cég ellen követték el. A Capital One eszközeit tekintve az USA tizedik legnagyobb bankja, szerepel a Fortune 100-as listáján, és az ötödik legnagyobb hitelkártya-kibocsátó. Ebből az üzletágból származik bevételeinek háromnegyede.

Éppen ezért érdekes adalék, hogy épp a hitelkártya üzlethez kapcsolódó fontos információkat tároltak ilyen módon. A támadó állítólag egy hibásan konfigurált tűzfalon keresztül juthatott be az informatikai rendszerbe. A bank egyébként azonnal vizsgálatot indított, amikor a támadás gyanúja felmerült, és el is ismerte, hogy volt egy sebezhetőség a védelmén. Richard D. Fairbank elnök-vezérigazgató nyilvánosan kért bocsánatot az ügyfelektől, és megköszönte a hatóságoknak a gyors felderítést.

A hiúságon bukott le

A támadással a hatóságok egy Seattle-ben élő, 33 éves számítógépes mérnököt, bizonyos Paige Thompsont gyanúsítják, akit az FBI le is tartóztatott számítógépes csalás és visszaélés gyanújával. Az online felületeken "erratic" néven kommunikáló nő vesztét egyébként állítólag szimplán a hiúság okozta. A bírósági iratok szerint elkőször a GitHubon tett közzé információkat a hekkelésről. Erre figyelt fel valaki, akinek gyanús lett a dolog, ezért értesítette a banknak. De a mérnök állítólag a Slack üzenetküldő felületén is eldicsekedett azzal, hogy mi került a birtokába, sőt meg is osztotta a megszerzett fájlok listáját. Bár az a Reuters szerint nem egyértelmű, hogy mi volt a hekkelés indítéka, az FBI azt felételezi, hogy Thompson szándékosan terjesztette, hogy adatokat lopott különböző szervezetektől.

A bírósági iratok szerint a gyanúsított korábban dolgozott egy olyan, meg nem nevezett felhőszolgáltatónál, amely adatfeldolgozási szolgáltatásokat nyújtott a Capial One-nak, de az a híradásokból nem derült ki, hogy ez a munkája összefügg-e a hekkeléssel.

Sok pénzébe kerül a banknak

A bank egyébként már meg is becsülte azokat a károkat, amiket az incidens okoz a 2019-es pénzügyi évében. Előzetes számítások szerint nagyjából 100-150 millió dollárba kerülnek majd az ilyenkor szükséges intézkedések, például hogy értesíteni kell az ügyfeleket, ki kell alakítani egy speciális hitelmonitoring rendszert, amely azt figyeli, hogy vannak-e a kikerült adatokkal kapcsolatba hozható illegális tranzakciók, és a jogi következmények kezelése is pénzbe kerül.

Emellett a bank számíthat egy alapos megfelelőségi vizsgálatra, hogy megtett-e mindent az ilyen incidensek elkerüléséhez. A lapok ezzel kapcsolatban felemlegetik az Equifax hitelbíráló céget ért 2017-es támadást, melynek során 143 millió ügyfél adatait és több mint 200 ezer hitelkártya-információt loptak el hekkerek. Az incidens következményeinek kezelése 145 millió dollárba került, de épp a napokban jelentették be, hogy az FTC (Federal Trade Commission) döntése értelmében a vállalatnak további 700 millió dollárt kell fizetnie. Ebből 275 millió a büntetés, a többiből az ügyfeleit azokat az ügyfeleit kell kártalanítania, akiket közvetlen vagy közvetett kár ért.