Ex-funcionário da AWS considerado culpado de hackear sistemas em nuvem do banco Capital One, o que levou ao vazamento de dados de 106 milhões de clientes

Paige Thompson, 36, ex-funcionária da Amazon Web Services, foi considerada culpada de invadir os servidores em nuvem da holding bancária americana Capital One Financial Corp e roubar dados pessoais de mais de 100 milhões de pessoas há quase três anos. Thompson trabalhou na gigante do software como engenheiro até 2016.

Um júri do Tribunal Distrital dos EUA em Seattle considerou Thompson culpado de sete crimes federais, incluindo fraude eletrônica, que pode levar até 20 anos de prisão. Outras acusações, incluindo acusações de acesso ilegal a um computador seguro e danos a um computador seguro, são puníveis com até cinco anos de prisão. No entanto, o júri a considerou inocente de fraude de dispositivo de acesso e roubo de identidade agravado.

Thompson, que usava o nome de usuário “errático”, criou uma ferramenta para encontrar contas mal configuradas na AWS, alegam os promotores. Isso permitiu que ela invadisse as contas de mais de 30 clientes da AWS, incluindo a Capital One, obtendo acesso a seus dados. Além disso, Thompson usou o acesso a alguns servidores para minerar criptomoedas, que entrou em sua própria carteira de criptomoedas. O veredicto final de Thompson será proferido pelo juiz distrital dos EUA, Robert S. Lasnik, em 15 de setembro.

Fonte da imagem: Pixabay

Este incidente trouxe à tona a questão da responsabilidade pela segurança da nuvem e o problema de configurações incorretas. A Capital One foi considerada negligente ao expor dados financeiros confidenciais ao público, resultando em uma multa de US$ 80 milhões. Além disso, custou à empresa US$ 190 milhões para resolver processos de clientes. Em um relatório recente, a empresa de segurança Rapid7 observou que as violações relacionadas a configurações incorretas de nuvem continuam ocorrendo em uma “frequência decepcionante”.

Os pesquisadores alertaram que é provável que haja alguém que esteja ativamente engajado na busca por configurações incorretas de serviços em nuvem diariamente. “Com as ferramentas certas no lugar, é quase trivial para qualquer pessoa moderadamente experiente procurar por tais violações na nuvem em escala, e eles nem precisam direcionar especificamente sua organização para encontrar essa configuração incorreta não intencional que acaba expondo informações confidenciais. dados”, observou o estudo.

Portanto, os pesquisadores sugerem que as empresas dediquem recursos à segurança na nuvem, incluindo o planejamento de configurações seguras e tolerantes a falhas e processos automatizados para rastrear erros e omissões. Em 2020, notou-se que o prejuízo da configuração incorreta das nuvens foi de US$ 5 trilhões. Agora esse valor pode ser muito maior.