Het enorme datalek bij Capital One leek een ongekunstelde aanval van een enkele hacker, vragen stellen over de veiligheid van het financiële systeem en interne bedreigingen voor cloud computing.

Het motief achter de inbreuk en de omvang van de impact bleven dinsdag onduidelijk, een dag nadat FBI-agenten de 33-jarige voormalige webingenieur Paige Thompson arresteerden en haar beschuldigden van het stelen van gegevens van meer dan 100 miljoen creditcardaanvragen van de 10e grootste Amerikaanse bank.

"De grootste verrassing is het amateuristische karakter van de aanval, ", zegt John Dickson van beveiligingsadviesbureau Denim Group.

Dickson zei dat het "absoluut wereldschokkend" was dat een individuele aanvaller toegang kon krijgen tot zoveel gegevens bij een van de grootste Amerikaanse financiële instellingen.

"Dit kan een grote impact hebben op het vertrouwen in het bankwezen."

De Capital One-hack lijkt anders te zijn dan grote inbreuken bij het kredietbewakingsbedrijf Equifax, internetgigant Yahoo en andere grote incidenten die zijn toegeschreven aan geavanceerde entiteiten van natiestaten.

Amerikaanse autoriteiten zeiden Thompson, een voormalig medewerker van Amazon Web Services, werd gearresteerd op basis van een tip nadat ze pochte toegang te krijgen tot de gegevens op de softwaredeelsite GitHub, evenals op Twitter en Slack.

Darren Hayes, een professor computerwetenschappen aan Pace University, gespecialiseerd in cyberbeveiliging, zei dat de mogelijkheid om een ​​aanvaller snel te arresteren en te vervolgen in dit soort zaken ongebruikelijk is.

"De meeste van deze gevallen worden gepleegd door hackers in andere landen, " hij zei.

'Goede mensen zijn slecht geworden'

Hayes zei dat het incident het risico van "insider"-aanvallen benadrukt wanneer vertrouwde werknemers zich tot diefstal wenden.

"Het is een uitdaging om goede mensen te betrappen die slecht zijn geworden, dus veel banken zoeken daar nu naar" met kunstmatige-intelligentietools om afwijkingen in het gedrag van werknemers te detecteren, zei Hayes.

Capital One zei dat het incident ongeveer 100 miljoen Amerikaanse klanten en zes miljoen Canada trof. met maar liefst 140, 000 Amerikaanse en een miljoen Canadese sofinummers gecompromitteerd.

Slechts een deel van de gegevens was versleuteld, maar Capital One zei dat het geen aanwijzingen had dat de gegevens werden overgedragen of verkocht waar het schadelijk zou kunnen zijn voor klanten.

Nog altijd, Hayes zei dat hij een risico ziet op gegevensverlies dat uiteindelijk de bankklanten in gevaar kan brengen.

"Mijn gevoel is dat we veel class action-rechtszaken zullen zien en dat het bedrijf aansprakelijk kan zijn voor veel schade, " hij zei.

Het nieuws over de Capital One-inbreuk komt nadat het Amerikaanse kredietcontrolebureau Equifax vorige week ermee instemde om tot 700 miljoen dollar te betalen om een ​​soortgelijk incident te regelen dat het bedrijf in 2017 trof. met bijna 150 miljoen klanten.

De procureur-generaal van de staat New York, Letitia James, zei dat haar kantoor een eigen onderzoek opende.

"Mijn kantoor zal onmiddellijk een onderzoek starten naar de inbreuk van Capital One, en zal ervoor zorgen dat New Yorkers die het slachtoffer waren van deze inbreuk, hulp krijgen, ' zei Jacobus.

'Makkelijker doelwit'

Dylan Gilbert van de consumentenorganisatie Public Knowledge zei dat het nieuws vragen oproept over de beveiligingsprocedures van de grote bank.

"Waarom heeft Capital One deze gegevens niet volledig versleuteld, en waarom heeft het bedrijf deze enorme schat aan persoonlijke informatie niet achter een goed geconfigureerde firewall geplaatst?", aldus Gilbert.

"Beveiliging is een uitdaging en fouten gebeuren, maar helaas voor de consument, bedrijven hebben geen prikkel om zich bezig te houden met best practices op het gebied van cyberbeveiliging wanneer straffen in de vorm van financiële sancties komen die kunnen worden beschouwd als louter kosten van zakendoen."

Joseph zaal, hoofdtechnoloog bij het Centrum voor Democratie &Technologie, zei dat het incident het risico benadrukt van te veel afhankelijk zijn van cloud computing, die enorme hoeveelheden gegevens op servers opslaat.

"Het feit dat er zoveel meer data in de cloud staat, maakt het een makkelijker doelwit, ' zei Hal.

"Als cloudservices verkeerd zijn geconfigureerd, is het relatief eenvoudig voor iemand die langsloopt om daarvan te profiteren."

Thompsons online cv geeft aan dat ze Amazon in 2016 verliet. en er waren geen aanwijzingen dat de AWS-cloud zelf verantwoordelijk was voor de inbreuk.

"AWS is op geen enkele manier aangetast en functioneerde zoals ontworpen, "Amazon zegt in een verklaring.

"De dader kreeg toegang door een verkeerde configuratie van de webapplicatie en niet de onderliggende cloudgebaseerde infrastructuur. Zoals Capital One duidelijk uitlegde in de onthulling, dit type kwetsbaarheid is niet specifiek voor de cloud."

© 2019 AFP