Банк Capital One сообщил об утечке данных около 100 млн клиентов в США и еще 6 млн — в Канаде. Возможно, это одна из крупнейших утечек информации из американского банка, пишет агентство Bloomberg.
В распоряжении хакера оказались сведения из заявок, которые клиенты банка подавали на кредитные карты начиная с 2005 года, отмечается в пресс-релизе Capital One. В том числе это личная информация: номера телефонов, домашние адреса, даты рождения и размер дохода заявителя на кредитку. Хакер также получил данные об отдельных транзакциях по картам за определенные периоды, номера социального страхования около 140 000 клиентов и номера страховых полисов около миллиона клиентов из Канады.
Хакерская атака была выявлена 19 июля, сообщил банк. Он устранил уязвимость в системе и обратился в ФБР.
Хакер из Amazon
В совершении хакерской атаки подозревается 33-летняя Пейдж Томпсон, ранее разрабатывавшая программное обеспечение для Amazon. В понедельник она предстала перед окружным судом Сиэтла и была арестована. Ей грозит до пяти лет тюрьмы и $250 000 штрафа.
Как пишет Reuters, Томпсон опубликовала информацию об атаке на сайте для программистов и разработчиков GitHub. Кроме того, она написала в Twitter: «В общем, я обмотала себя поясом смертника — слила документы Capital One и признала это. Там есть номера социального страхования с полными именами людей и их датами рождения». Там же Томпсон отмечала, что ей украденная информация «не нужна», а «нужно найти место, где ее можно будет хранить» (цитаты по Bloomberg, этих сообщений в Twitter Томпсон на момент публикации текста уже не было).
Откровения Томпсон попались на глаза одному из пользователей GitHub, которые уведомил об утечке данных Capital One. Власти быстро отследили хакера, так как ее страница на GitHub содержала ее полное имя, пишет Reuters.
По данным прокуратуры, Томпсон получила доступ к банковским данным благодаря некорректно настроенной системе защиты сетевого приложения. Capital One хранил данные на серверах компании-подрядчика, специализирующейся на облачных технологиях. Хотя сам банк название компании не разглашал, из материалов обвинения следует, что речь идет об S3 — сервисе для хранения информации, созданном Amazon. Представитель Amazon Web Services подтвердил, что данные Capital One, которые, предположительно, были украдены, хранились в облаке S3.
Capital One был одним из главных сторонников использования банками облачных сервисов, отмечает Bloomberg. Банк сообщал, что интегрирует эту технологию во все большее количество своих приложений и планирует полностью отказаться от использования обычных дата-центров к 2020 году, чтобы снизить издержки.
Инцидент обойдется Capital One в сумму от $100 млн до $150 млн, в основном из-за необходимости разослать клиентам уведомления об утечке, перепроверить их кредитные истории и на оплату работы юристов, сообщила Reuters пресс-служба банка.
«Capital One был для нас мечтой»
Capital One активно использовал метод рассылки предложений кредитных карт, и именно его копировал Олег Тиньков, создавая Тинькофф Банк в 2006 году. В своей книге «Революция. Как построить крупнейший онлайн-банк в мире», вышедшей в 2017 году, миллиардер писал, что ориентировался на Capital One «как на икону».
«Capital One летел как ракета, а мы ориентировались на ее след. В 2006–2010 годах мы копировали модель Capital One, привлекая клиентов через почтовые рассылки. Capital One был для нас мечтой, той самой Индией, к которой плыл Колумб. Но приплыли мы не в Индию, а открыли свою Америку. Если Capital One стал поглощать конкурентов и теперь обладает 700 отделениями, то мы ушли в онлайн», — писал Тиньков.
Первый кризис. Отрывок из книги Олега Тинькова «Революция»
«Мы действительно ориентировались на старте на модель Capital One, но вскоре после запуска пошли в другом — собственном — направлении развития, — сказал Forbes представитель Тинькофф Банка. — Capital One пошли по пути развития сети собственных отделений, мы же выросли в крупнейший онлайн-банк в мире».
Комментировать утечку данных клиентов Capital One он отказался.