In una delle più grandi violazioni di dati mai avvenute, una cyber criminale è riuscita rubare oltre 100 milioni di dati dei clienti di Capital One, uno tra i primi istituti bancari degli Stati Uniti.
La donna in questione risponde al nome di Paige Thompson ed è stata accusata di essere entrata nei server di Capital One dove ha avuto accesso a 140.000 numeri di previdenza sociale, un milione di numeri di previdenza sociale canadese e 80.000 numeri di conti bancari, oltre a un numero imprecisato di nomi, indirizzi, limiti di credito, saldi e altre informazioni.
La 33enne, che vive a Seattle, aveva precedentemente lavorato come ingegnere informatico per Amazon Web Services, la società di cloud hosting utilizzata da Capital One, ha dichiarato il Dipartimento di Giustizia. È stata in grado di ottenere l’accesso sfruttando un firewall non configurato correttamente.
Ma la cosa più sorprendente è che la Thompson ha agito indisturbata dal 2005 al 2019.
In casa Capital One nessuno si è mai accorto di nulla per ben 15 anni!!!
Capital One ha dichiarato di aver risolto la vulnerabilità e ha affermato che: “E’ improbabile che le informazioni siano state utilizzate per frode o diffuse da questa persona.” Tuttavia si sta ancora indagando. “Mi scuso sinceramente per la comprensibile preoccupazione che questo incidente ha causato alle persone colpite e m’impegno a risolverlo“, ha dichiarato Richard Fairbank, CEO di Capital One.
La violazione ha colpito circa 100 milioni di persone negli Stati Uniti e circa 6 milioni di persone in Canada, secondo Capital One.
Tuttavia, “Nessun numero di conto della carta di credito o credenziali di accesso è stato compromesso e oltre il 99% dei numeri di previdenza sociale non è stato compromesso“, ha dichiarato la società.
Capital One ha dichiarato che informerà le persone colpite dalla violazione ed inoltre prevede di investire tra i 100 milioni e i 150 milioni di dollari in costi relativi al data breach: notifiche ai clienti, il monitoraggio del credito, i costi tecnici e supporto legale.
Quali sono le tecniche usate per il data breach.
In un bellissimo articolo di Pawel Zorzan Urban vengono spiegate le tecniche utilizzate che sono: Server Side Request Forger insieme alla Cross Site Request Forgery.
In entrambi i casi si tratta di forgiare richieste client o server e manipolarle a proprio piacimento, per far capire al meglio la tecnica utilizzata è nato il progetto CONTRA, Simple & Interactive SSRF tutoria, che vi permettere di ripercorrere passo passo l’attacco effettuato dal Cyber Criminale Paige Thompson.
Potete seguire il tutorial per sottrarre denaro da un conto di un finto BOB per un ammontare di 2.500$ sulla finta Banca CapitalTen sfruttando la tecnica di Server Side Request Forgery.
Reference:
