В июне 2019 года стало известно о компрометации американского банка Capital One и утечке данных 106 млн пользователей. Тогда на сторону утекли данные пользователей, которые обращались в банк за получением кредитной карты в период с 2005 по 2019 год. В том числе имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, даты рождения и данные о доходах пользователей.
Также утечка коснулась информации о кредитных картах клиентов банка, то есть данные о кредитных рейтингах и лимитах, сальдо, истории платежей, а также контактную информацию и фрагменты транзакций за 23 дня в 2016, 2017 и 2018 годах. Кроме того, сообщалось, что взломщик получил доступ к миллиону канадских номеров социального страхования, более 140 000 американских номеров социального страхования и 80 000 номеров банковских счетов.
В связи со взломом Capital One правоохранительные органы задержали 33-летнюю жительницу Сиэтла Пейдж А. Томпсон aka Erratic, бывшую сотрудницу Amazon Web Services Inc. Дело в том, что Томпсон упомянула компрометацию Capital One в комментариях на GitHub, а для проникновения в сеть воспользовалась неверной конфигурацией брандмауэра. Вскоре на слова Томпсон обратил внимание бдительный пользователь, уведомивший о происходящем представителей банка, что в итоге и привело к ее аресту.
Но, как стало известно в августе текущего года, компрометацией одного только Capital One дело не ограничилось. Сообщалось, во время обыска в доме Томпсон правоохранители изъяли серверы, на которых обнаружилась не только похищенная у Capital One информация, но и несколько терабайт данных, украденных более чем у 30 других компаний, образовательных учреждений и прочих организаций. Правоохранители не разглашали названий пострадавших компаний, но, судя по сообщениям СМИ, среди них могли быть Unicredit, Vodafone, Ford, Университет штата Мичиган, Департамент транспорта Огайо и так далее.
В конце прошлой недели Пейдж Томпсон, которая по-прежнему остается под стражей, были предъявлены обвинения в мошенничестве с использованием электронных средств связи, компьютерном мошенничестве и злоупотреблениях в отношении Capital One и более 30 других организаций.
Единственная организация, которая фигурирует в судебных документах открыто, это Capital One, однако также в обвинительном заключении упоминаются неназванное госучреждение, телекоммуникационный конгломерат, расположенный за пределами США, а также государственный исследовательский университет в Соединенных Штатах. Причем все пострадавшие компании и организации пользовались услугами Amazon Web Services, хотя в обвинительном заключении AWS упоминается лишь как «компания, занимающаяся облачными вычислениями».
Следователи заявляют, что Томпсон создала некий инструмент, с помощью которого сканировала интернет в поисках неправильно настроенных серверов AWS, позволявших кому угодно получить доступ к данным, хранящимся на них. Предполагается, что Томпсон не только похищала информацию, но и использовала скомпрометированные серверы AWS для майнинга криптовалюты. Пока следователи не нашли никаких доказательств того, что Томпсон продавала или распространяла что-либо из украденных ею данных.
Суд по делу Томпсон состоится 5 сентября 2019 года, и в настоящее время ей грозит до 25 лет лишения свободы.