موسسهی Capital One، پنجمین مؤسسهی بانکی و صادرکنندهی کارت اعتباری امریکا بهتازگی یک افشای اطلاعات را تجربه کرده است که اطلاعات شخصی بیش از ۱۰۰ میلیون متقاضی کارت اعتباری را در امریکا و ۶ میلیون متقاضی در کانادا را تحت تأثیر قرار میدهد. Capital One در بیانیهی خود اعلام کرد که این افشای اطلاعاتی که در ۲۲ مارس در سال جاری اتفاق افتاد به مهاجمان اجازه میدهد تا اطلاعات مشتریانی را که در سالهای ۲۰۱۵ تا ۲۰۱۹ میلادی برای کارت اعتباری درخواست داده بودند به سرقت ببرند. بااینحال، این حادثهی امنیتی پس از آنکه یک نفوذگر اطلاعات مربوط به آن را در ۱۹ جولای در حساب گیتهاب خود منتشر کرد، افشا شد.
افبیآی Paige Thompson، مهندس نرمافزار خدمات وب آمازون را که از سال ۲۰۱۵ تا ۲۰۱۶ میلادی برای یکی از پیمانکاران Capital One کار کرده بود، دستگیر کرد و دستگاههای ذخیرهسازی الکترونیکی او را که حاوی یک نسخه از اطلاعات به سرقت رفته بودند، توقیف کرد. Thompson در دادگاه منطقهای امریکا متهم به کلاهبرداری رایانهای شد و محکوم به پنج سال زندان و جریمهی ۲۵۰ هزار دلاری شد.
طبق اسناد دادگاه، Thompson از یک دیوار آتش با پیکربندی نامناسب در سرور ابری خدمات وب آمازون Capital One بهرهبرداری کرده و بیش از ۷۰۰ پوشه از اطلاعات ذخیرهشده در آن سرور را به سرقت برده است. دادستان امریکا اظهار داشت که Capital One این افشای اطلاعات را بهسرعت به پلیس اطلاع داده است که این کار به افبیآی اجازه میدهد تا این نفوذ را ردیابی کند.
توجه به این نکته ضروری است که خدمات وب آمازون در معرض خطر قرار نگرفته است زیرا نفوذگر متهم بهخاطر پیکربندی نادرست Capital One و نه از طریق آسیبپذیری موجود در زیرساخت آمازون به سرور ابری آن دسترسی پیدا کرده است.
اطلاعات به سرقت رفته شامل حدوداً ۱۴۰ هزار شمارهی امنیت اجتماعی و ۸۰ هزار شماره حساب بانکی مربوط به مشتریان امریکایی و ۱ میلیون شماره بیمهی اجتماعی مشتریان کانادایی است. علاوهبرآن، نام، آدرس، تاریخ تولد، امتیاز اعتباری، محدودیت اعتباری، موجودی، تاریخچهی پرداخت و اطلاعات تماس برخی مشتریان نیز در این حادثهی امنیتی در معرض خطر قرار گرفته است.
بااینحال در بیانیهی منتشرشده، Capital One به مشتریان خود اطمینان داد که هیچ شماره حساب کارت اعتباری یا گواهینامههای ورودی در معرض خطر قرار نگرفته است و بیش از ۹۹ درصد شمارههای امنیت اجتماعی که این شرکت در آن فایل ذخیره کرده بود تحت تأثیر قرار نگرفته است.
موسسهی Capital One بلافاصله این آسیبپذیری پیکربندی را رفع و شروع به همکاری با پلیس کرد. طبق تجزیه و تحلیلهای این شرکت، بعید است که این اطلاعات برای کلاهبرداری استفاده شده باشد یا توسط این فرد منتشر شده باشد. این شرکت همچنین بیان کرد که به مشتریانی که تحت تأثیر این افشا قرار گرفتهاند، اطلاع خواهد داد و خدمات نظارتی اعتباری رایگان برای آنها ارائه خواهد داد.