0
0
O trabalhador de tecnologia de Seattle, de 36 anos, por trás da infame violação de dados da Capital One de 2019 foi condenado por sete acusações relacionadas ao roubo de dados – que são puníveis com até 20 anos de prisão.
No incidente, Paige Thompson, que operava sob o identificador de hacker “errático”, se saiu com mais de 100 milhões de pedidos de crédito que foram mantidos em um balde de armazenamento incorretamente configurado da Amazon Web Services na nuvem. Ela foi presa pouco depois, depois que a gigante bancária rastreou a atividade maliciosa até ela e alertou o FBI.
“Sr. Thompson usou suas habilidades de hackers para roubar as informações pessoais de mais de 100 milhões de pessoas e sequestrou servidores de computador para minerar criptomoedas”, disse o procurador dos EUA Nick Brown, em um comunicado. “Longe de ser uma hacker ética tentando ajudar as empresas com a segurança do computador, ela explorou erros para roubar dados valiosos e procurou se enriquecer.”
Os promotores observaram que Thompson usou especificamente um scanner para procurar configurações incorretas da AWS, nas quais os bancos de dados são deixados abertos para a Internet sem a necessidade de autenticação para o acesso. Ao todo, ela conseguiu se infiltrar nos bancos de dados de 30 entidades, incluindo a Capital One — roubando dados e, em alguns casos, plantando mineiros de criptomoedas.
De acordo com um comunicado do Departamento de Justiça, Thompson “passou centenas de horas avançando seu esquema e se gabou de sua conduta ilegal para com outras pessoas por meio de mensagens de texto ou fóruns on-line”.
Após um julgamento de sete dias e 10 horas de deliberação, um júri do Tribunal Distrital dos EUA em Seattle considerou Thompson culpado de fraude eletrônica, cinco acusações de acesso não autorizado a um computador protegido e danos a um computador protegido. O júri a considerou inocente de fraude de dispositivo de acesso e roubo de identidade agravado.
Thompson está programado para ser condenado pelo juiz distrital dos EUA Robert S. Lasnik em setembro. 15.
“Ela queria dados, queria dinheiro e queria se gabar”, disse o advogado assistente dos EUA Andrew Friedman nos argumentos finais.
“Estamos satisfeitos com o resultado do julgamento e continuamos gratos pelo trabalho incansável da Procuradoria dos EUA em Seattle e do Escritório de Campo de Seattle do FBI no processo deste importante caso”, disse Capital One em um comunicado à imprensa.
Configurações incorretas na nuvem permanecem desenfreantes
Embora Thompson estivesse embençoado em atividades maliciosas, o incidente também trouxe a responsabilidade pela segurança da nuvem e a questão das configurações incorretas à tona. Capital One foi considerado negligente por deixar dados financeiros confidenciais abertos ao público, resultando em uma multa de US$ 80 milhões. Também resolveu ações judiciais de clientes por US$ 190 milhões — não é um resultado barato.
“A violação do Capital One realmente colocou a segurança na nuvem na vanguarda de muitas empresas”, diz John Bambenek, principal caçador de ameaças da Netenrich. “Antes disso, havia um equívoco de que as empresas de nuvem lidariam com a segurança e que as configurações padrão eram ‘seguras o suficiente’. A realidade é que o modelo de segurança compartilhada exige que os usuários se certifiquem de que seus ambientes de nuvem estejam seguros e que os dados não vazem acidentalmente.”
Em seu recente relatório sobre configurações incorretas na nuvem, a empresa de segurança Rapid7 observou que as violações decorrentes de configurações incorretas na nuvem continuam a acontecer com “frequência angustiante”.
“Em primeiro lugar, agora você deve estar bem ciente de que há indivíduos que buscam ativamente configurações incorretas de serviços em nuvem diariamente”, alertaram os pesquisadores no relatório. “Dadas as ferramentas certas, é quase trivial para qualquer pessoa moderadamente inteligente caçar essas rachaduras na nuvem em grande escala, e elas nem precisam segmentar sua organização especificamente para se deparar com essa configuração não intencional que acaba expondo dados confidenciais sob seus cuidados.”
Como exemplo, no início deste mês, pesquisadores da Secureworks Counter Threat Unit (CTU) descobriram que os ciberatacantes estão visando buckets de nuvem Elasticsearch mal configurados para fins de extorsão. Depois de encontrar dados expostos na Internet pública, os atacantes roubam os dados abertos e os substituem por uma nota de resgate. Na época, quase 1.200 instâncias haviam sido afetadas.
Assim, as empresas devem dedicar recursos à segurança na nuvem, incluindo o planejamento de configurações seguras e resilientes e processos automatizados para monitorar erros e descuções, observaram os pesquisadores.
Bambenek diz que há evidências de que as coisas estão melhorando.
“Levou alguns anos, no entanto, estamos fazendo progressos reais não apenas em ter configurações seguras padrão, mas para que as ferramentas de segurança comecem a detectar configurações incorretas e comportamento malicioso em ambientes de nuvem”, diz ele ao Dark Reading.
FONTE: DARK READING