Capital One mengatakan data 100 juta pengguna diretas, mantan pekerja AWS dituduh
Capital One Financial Corp mengatakan data dari sekitar 100 juta orang di AS diakses secara ilegal setelah jaksa menuduh seorang wanita Seattle diidentifikasi oleh Amazon.com Inc sebagai salah satu mantan karyawan layanan cloud untuk membobol server bank.
Sementara keluhan tidak mengidentifikasi penyedia cloud yang menyimpan data yang diduga dicuri, kertas pengisian menyebutkan informasi yang disimpan dalam S3, referensi ke Simple Storage Service, Amazon Perangkat lunak penyimpanan data populer Layanan Web.
Seorang juru bicara AWS mengkonfirmasi bahwa cloud perusahaan telah menyimpan data Capitol One yang dicuri, dan mengatakan itu tidak dapat diakses melalui pelanggaran atau kerentanan dalam sistem AWS. Jaksa menuduh bahwa akses ke data bank datang melalui firewall yang salah konfigurasi yang melindungi salah satu aplikasinya.
Paige A. Thompson ditangkap hari Senin dan muncul di pengadilan federal di Seattle. Pencurian data terjadi antara 12 Maret dan 17 Juli, kata jaksa AS di Seattle.
Thompson sebelumnya seorang Amazon Karyawan Layanan Web. Dia terakhir bekerja di Amazon pada 2016, juru bicara Grant Milne mengatakan. Pelanggaran yang dijelaskan oleh Capitol One tidak membutuhkan pengetahuan orang dalam, katanya.
"Saya sangat menyesal atas apa yang telah terjadi," kata Richard D. Fairbank, chief executive officer Capital One, dalam sebuah pernyataan. "Saya dengan tulus meminta maaf atas kekhawatiran yang dapat dimengerti bahwa insiden ini harus menyebabkan mereka yang terkena dampak." Sekitar 6 juta orang di Kanada juga terkena dampak pelanggaran tersebut, kata Capital One.
Kategori terbesar dari data yang dicuri dipasok oleh konsumen dan usaha kecil ketika mereka mengajukan permohonan kartu kredit dari 2005 hingga awal 2019, kata bank. Itu termasuk beragam data pribadi, seperti nama, alamat, nomor telepon, tanggal lahir, pendapatan yang dilaporkan sendiri, skor kredit dan fragmen dari sejarah transaksi.
Sekitar 140.000 nomor Jaminan Sosial diakses, serta 80.000 nomor rekening bank dari pelanggan kartu kredit, kata bank itu.
Di pengadilan pada hari Senin, Thompson mogok dan membaringkan kepalanya di meja pertahanan selama persidangan. Dia didakwa dengan satu tuduhan penipuan komputer dan menghadapi hukuman maksimum lima tahun penjara dan denda $ 250.000. Pengacaranya menolak berkomentar.
Hakim Hakim AS Mary Alice Theiler memerintahkan Thompson untuk ditahan. Sidang jaminan ditetapkan untuk 1 Agustus. Capital One, yang berbasis di McLean, Virginia, telah menjadi salah satu pendukung paling vokal untuk menggunakan layanan cloud di antara bank.
Pemberi pinjaman mengatakan telah memigrasikan persentase peningkatan aplikasi dan datanya ke cloud dan berencana untuk sepenuhnya keluar dari pusat data pada akhir 2020 – sebuah langkah yang menurut perusahaan akan membantu menurunkan biaya.
