1 августа 2019 г.
Поймай, если сможешь
В понедельник агенты ФБР арестовали инженера программного обеспечения Пейдж А. Томпсон (Paige A. Thompson) из Сиэтла по делу о взломе банка Capital One весной 2019 года, в результате которого были украдены персональные данные 106 миллионов владельцев кредитных карт и заявителей на выдачу карт в США и Канаде.
Заявление о возбуждении уголовного дела против Томпсон на 12 страницах было подано Специальным агентом ФБР в Окружной суд США по Западному округу штата Вашингтон в понедельник с обвинением в компьютерном мошенничестве и злоупотреблении. Спустя несколько часов банк Capital One (Маклейн, шт. Виргиния) опубликовал заявление, в котором признал факт взлома и объяснил, как это может сказаться на его работе. Федеральный прокурор Брайан Т. Морн (Brian T. Morn) также сделал официальное заявление.
«Capital One быстро уведомил правоохранительные органы о краже данных, что позволило ФБР проследить вторжение, — сообщает Морн. — Я выражаю признательность нашим правоохранительным органам, которые делают всё возможное, чтобы выяснить статус данных и обеспечить их защищенность».
CRN/США рассказывает о том, как Томпсон удалось взломать сервер банка Capital One и как она в конечном счете была арестована властями.
10. Томпсон была системным инженером AWS в 2015-16 гг.
Профиль Томпсон на GitHub содержит резюме, в котором сказано, что ранее она работала системным инженером в компании, которая предоставляет облачные услуги, говорится в заявлении агента. Название самой компании не указано, но источники, знакомые с обстоятельствами дела, сообщили CRN что речь идет об Amazon Web Services.
Источники сообщили, что Томпсон покинула AWS примерно за три года до взлома Capital One. В резюме сказано, что она работала инженером программного обеспечения, разработчиком архитектуры систем и системным администратором в семи компаниях (главным образом в районе Сиэтла) в период с 2005 по 2015 год, прежде чем пришла в AWS в первой половине этого года.
Томпсон имела также профиль на Meetup, Slack и Twitter, используя имя пользователя «erratic» (сумасбродный, «не как все») в своем дескрипторе, указано в заявлении.
9. Обвиняемой грозит до пяти лет тюрьмы
Против Томпсон выдвинуто обвинение в компьютерном мошенничестве и злоупотреблении за доступ без разрешения к компьютеру, принадлежащему банку Capital One, и получение информации с защищенного компьютера, ценность которой составляет более 5000 долл. Это наказывается лишением свободы на срок до пяти лет и штрафом в 250 тыс. долл.
Расследование по делу Томпсон вел Специальный агент Джоэл Мартини (Joel Martini) из местного отделения ФБР в Сиэтле, который специализируется на компьютерном взломе и других киберпреступлениях. Он работает в ФБР специалистом по расследованию компьютерных преступлений в течение примерно пяти лет.
В понедельник Томпсон предстала перед Окружным судом в Сиэтле и была задержана до начала рассмотрения дела в четверг. В зале суда она не сдержалась и в слезах легла головой на стол защиты, сообщает Bloomberg.
8. Взлом обойдется банку в 100 млн долл. только в этом году
Из-за взлома, совершенного Томпсон, банку Capital One придется потратить от 100 млн до 150 млн долл. на уведомления клиентов, кредитный мониторинг, технологии и юридическую помощь в одном лишь 2019 году. Банк сообщил, что страхование от кибер-рисков обходится ему в 10 млн долл., а общий лимит покрытия составляет 400 млн долл.
Акции Capital One упали на 3,92 долл. (-4,04%) до 93 долл. в сделках после закрытия торгов в понедельник. Bloomberg первым сообщил о взломе чуть позднее 18:00 во Восточному времени в понедельник; банк сообщил о происшедшем час спустя.
Capital One заявил, что рассчитывает покрыть затраты на уведомления и кредитный мониторинг в текущем году и полагает, что любые дополнительные инвестиции в кибербезопасность будут финансироваться из текущего бюджета банка.
7. Томпсон намекнула о взломе на GitHub
Информация, добытая при взломе Capital One, была размещена на странице GitHub, цифровой адрес которой содержит полное имя Томпсон, говорится в заявлении агента. (GitHub предоставляет веб-хостинг и позволяет пользователям управлять своими проектами и хранить их версии.)
Записи, полученные при расследовании, показали также, что IP-адреса, которые использовала Томпсон, предоставлялись компанией IPredator, поставщиком предоплаченных услуг VPN, и они же были использованы ею для размещения сообщений на GitHub. Некоторые из этих сообщений появились почти непосредственно перед взломом, сказано в обвинении. Заявления самой Томпсон в соцсетях также показывали, что у нее есть информация, принадлежащая Capital One.
6. Имя Томпсон содержится в адресе файла с украденными данными
Capital One имеет специальный адрес электронной почты, по которому просит присылать информацию об имеющихся или потенциальных уязвимостях в своих компьютерных системах, чтобы помочь предотвратить взлом, сообщает агент Мартини. «Белые» хакеры часто находят такие уязвимости и сообщают о них вендорам.
Неизвестный сообщил банку по этому адресу 17 июля, что некоторые данные Capital One после утечки с S3 обнаружены на некой странице в GitHub. (S3, или Simple Storage Service, — это сервис онлайн-хранения компании Amazon Web Services.)
Адрес файла на GitHub, содержащего украденные данные, включает полное имя Пейдж А. Томпсон, говорится в заявлении агента.
5. Томпсон воспользовалась неверной конфигурацией брандмауэра
В заявлении агента указано, что ошибка в конфигурации брандмауэра позволила Томпсон добраться до папок («buckets» в терминах AWS), содержащих данные в пространстве хранения Capital One на S3. Файл на GitHub, о котором было сказано в письме об утечке, имел метку даты 21 апреля 2019 года и содержал код трех команд, а также список более чем 700 папок с данными.
Указанные команды позволили Томпсон получить учетные данные Capital One, ввести список нужных папок с данными и извлечь данные из этих папок. Сама AWS никоим образом не ответственна за взлом, говорят источники, поскольку доступ стал возможен только из-за неверной конфигурации веб-приложения, а не инфраструктуры облачного хранилища.
Более 700 папок, перечисленных в файле Томпсон на GitHub 21 апреля, соответствуют реальным именам папок, используемых банком Capital One для хранения данных у AWS, сказано в заявлении. Метка времени в логах Capital One также совпадает с таковой в файле на GitHub.
4. Томпсон многократно подключалась к серверу Capital One в этом году
Томпсон подключалась или пыталась подключиться через неверно сконфигурированный брандмауэр к серверу Capital One несколько раз в марте и апреле 2019 года, говорится в заявлении агента. Первая попытка получить доступ к данным с IP-адреса Томпсон имела место 12 марта, и 10 дней спустя с этого IP-адреса неоднократно запрашивался список папок в пространстве хранения Capital One.
Затем, 22 марта из папок Capital One была получена информация, содержавшая данные заявлений на выдачу кредитных карт. IP-адрес, использованный для выполнения ряда команд, также обслуживался компанией IPredator, сообщает агент.
Один из файлов, скопированных из папок Capital One в тот день, ни разу не запрашивался в 2019 году, а месяц спустя была выполнена команда «list bucket», также через IPredator, говорится в заявлении.
3. В украденных файлах содержались номера соцстрахования и банковских счетов
Данные, скопированные при взломе из папок Capital One, содержат 1 миллион номеров социального страхования в Канаде, 140 тысяч аналогичных номеров в США и 80 тысяч связанных с ними номеров банковских счетов клиентов, сообщил Capital One.
Физические лица и мелкие фирмы, подавшие заявления в Capital One на выдачу кредитных карт в период с 2005 по начало 2019 года, должны были указать свое полное имя, почтовый адрес вместе с индексом, номер телефона, адрес электронной почты, дату рождения и сообщенный ими размер дохода — все эти данные попали в распоряжение Томпсон. По оценке банка, от взлома пострадали примерно 100 миллионов человек в США и 6 миллионов в Канаде.
Capital One обычно шифрует все данные, но обстоятельства совершения взлома дают возможность их расшифровать, сообщает банк. Тем не менее, самые важные поля — с номерами социального страхования и банковских счетов — дополнительно защищены с помощью токенов, то есть вместо самих номеров поля содержат криптографически cгенерированные коды.
2. Томпсон хвалилась своими подвигами в соцсетях
В заявлении агента говорится, что Томпсон собиралась распространять данные, украденные у организаций, начиная с Capital One.
Так, 18 июня пользователь Twitter’а «ERRATIC» (данные профиля которого указывают на Томпсон) послал личное сообщение человеку, который сообщил о взломе банку Capital One, написав следующее: «Я, похоже, надела пояс смертника, выложив доки Capital One и признав это. Думаю, сначала стоит разбросать эти „баки“. Там СНИЛСы с полным ФИО и датой рождения».
Спустя девять дней пользователь Slack с именем «erratic» (агент полагает, что это также Томпсон) ответил другому человеку на канале Slack, написав: «не надо в тюрьму, плз» и далее: «прошла через ipredator > tor > s3 до цели. Хочу скинуть это с моего сервера, поэтому всё архивирую LOL. У меня есть еще защищенная от утечки настройка маршрутизатора IPredator, если кому-то нужно».
Первое предложение в ответе Томпсон описывает, как она осуществила взлом Capital One.
1. На прицеле были и другие организации
Спецагент ФБР Мартини сообщает в своем заявлении, что в пятницу он получил ордер на обыск по месту проживания Томпсон для поиска свидетельств по делу Capital One. В понедельник Мартини и другие агенты ФБР провели обыск в присутствии Томпсон и четырех понятых.
Из спальни было изъято множество цифровых устройств — как полагают агенты, принадлежащих Томпсон. Первичный осмотр этих устройств выявил на них файлы и другое содержимое, указывающее на Capital One и AWS.
Информация на изъятых устройствах указывает также на псевдоним «erratic», используемый Томпсон на нескольких форумах и в сообществах интернета, а также на другие организации, которые могли быть целью попыток или уже осуществленных вторжений в сеть, говорится в заявлении. Электронные устройства хранения, содержащие копию украденных данных, были изъяты, сказано в сообщении прокуратуры.
© 2019. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США