En ce 16 juillet, 2019, photo d'archives une carte de crédit Capital One est montrée dans un portefeuille à San Francisco. Une faille de sécurité chez Capital One Financial, l'un des plus grands émetteurs de cartes de crédit du pays, compromis les informations personnelles d'environ 106 millions de personnes, et dans certains cas, le pirate a obtenu des numéros de sécurité sociale et de compte bancaire. (AP Photo/Jeff Chiu, Déposer)
Une faille de sécurité chez Capital One Financial, l'un des plus grands émetteurs de cartes de crédit du pays, compromis les informations personnelles d'environ 106 millions de personnes, et dans certains cas, le pirate a obtenu des numéros de sécurité sociale et de compte bancaire.
Il s'agit de l'une des plus importantes atteintes à la sécurité d'une grande institution financière américaine jamais enregistrée. L'action de la banque a dégringolé de 7% mardi, la plus forte baisse sur une seule journée en quatre ans.
Paige A. Thompson, qui utilise le pseudonyme en ligne « erratique » – a été inculpé d'un seul chef d'accusation de fraude informatique et d'abus devant le tribunal de district américain de Seattle. Thompson a comparu pour la première fois devant le tribunal et a été condamné à rester en détention en attendant une audience de détention jeudi.
Les agents fédéraux ont commencé à suivre Thompson en ligne après avoir été informés par Capital One d'une éventuelle violation en juillet.
Le 18 juin, Thompson a envoyé un message sur Twitter à un autre utilisateur en disant :"Je me suis essentiellement attaché avec un gilet anti-bombe, (juron) laisser tomber les doxes du Capitole et l'admettre."
Le FBI a perquisitionné la résidence de Thompson lundi et a saisi des appareils numériques. Une recherche initiale a permis de trouver des fichiers faisant référence à Capital One et à "d'autres entités qui pourraient avoir été la cible d'intrusions réseau tentées ou réelles".
Thompson était ingénieur système chez Amazon Web Services entre 2015 et 2016, environ trois ans avant l'infraction.
Ce lundi, 22 juillet 2019, la photo montre l'envoi de Capital One à North Andover, Selon Mass. Capital One, un pirate informatique a eu accès aux informations personnelles de plus de 100 millions de personnes demandant un crédit. Le McLean, Une banque basée en Virginie a déclaré lundi, 29 juillet 2019, il a découvert la vulnérabilité de son système le 19 juillet et a immédiatement demandé l'aide des forces de l'ordre pour attraper l'agresseur. (Photo AP/Elise Amendola)
En ce 16 juillet, 2019, fichier photo, un homme traverse la rue depuis un magasin de Capital One à San Francisco. Une faille de sécurité chez Capital One Financial, l'un des plus grands émetteurs de cartes de crédit du pays, compromis les informations personnelles d'environ 106 millions de personnes, et dans certains cas, le pirate a obtenu des numéros de sécurité sociale et de compte bancaire. (AP Photo/Jeff Chiu, Déposer)
Un CV que Paige Thompson a publié sur un groupe Slack qu'elle a créé indique qu'elle a travaillé sur son front-end, l'interface avec les utilisateurs et les mises à jour de sécurité.
Bien que ce service soit utilisé par Capital One, il n'y a aucune preuve que le système cloud d'Amazon ait été impliqué dans la violation.
"AWS n'a été compromis d'aucune façon et a fonctionné comme prévu, ", a déclaré mardi un porte-parole de l'entreprise. "L'auteur a obtenu l'accès grâce à une mauvaise configuration de l'application Web et non de l'infrastructure sous-jacente basée sur le cloud. Comme Capital One l'a clairement expliqué dans sa divulgation, ce type de vulnérabilité n'est pas spécifique au cloud."
Capital One Financial Corp. a été informé par un tiers le 19 juillet que ses données étaient apparues sur le site d'hébergement de code GitHub, qui appartient à Microsoft. Le McLean, Virginie, l'entreprise affirme avoir immédiatement informé le FBI.
Le FBI a déclaré qu'un utilisateur de Twitter qui est passé par « erratique » a envoyé des messages directs à un utilisateur l'avertissant de la diffusion des données de la banque, y compris les noms, dates de naissance et numéros de sécurité sociale. Cet utilisateur a signalé le message à Capital One.
Ce 22 juillet, 2019, la photo montre le courrier de Capital One à North Andover, Mass. Une faille de sécurité chez Capital One Financial, l'un des plus grands émetteurs de cartes de crédit du pays, compromis les informations personnelles d'environ 106 millions de personnes, et dans certains cas, le pirate a obtenu des numéros de sécurité sociale et de compte bancaire. Il s'agit de l'une des plus importantes atteintes à la sécurité d'une grande institution financière américaine jamais enregistrée. L'action de la banque a plongé de 6% à l'ouverture de la bourse mardi, 30 juillet. (AP Photo/Elise Amendola)
Capital One a déclaré qu'il pensait qu'il était peu probable que les informations aient été utilisées à des fins frauduleuses, mais l'enquête est en cours.
La violation de données concerne environ 100 millions de personnes aux États-Unis et 6 millions au Canada.
La banque a déclaré que la majeure partie des données piratées consistait en des informations fournies par les consommateurs et les petites entreprises qui ont demandé des cartes de crédit entre 2005 et début 2019. En plus de données telles que les numéros de téléphone, adresses mail, les dates de naissance et les revenus déclarés, le pirate a également pu accéder aux cotes de crédit, limites et soldes de crédit, ainsi que des fragments d'informations sur les transactions sur un total de 23 jours en 2016, 2017 et 2018.
"Bien que je sois reconnaissant que l'agresseur ait été arrêté, Je suis profondément désolé pour ce qui s'est passé, ", a déclaré le PDG de Capital One, Richard Fairbank. "Je m'excuse sincèrement pour l'inquiétude compréhensible que cet incident doit causer aux personnes touchées et je m'engage à y remédier."
Capital One Financial Corp., la septième banque commerciale du pays avec 373,6 milliards de dollars d'actifs au 30 juin, est la dernière entreprise américaine à avoir subi une violation de données majeure ces dernières années.
Le logo de Capitol One Financial apparaît au-dessus d'un poste de traite sur le parquet de la Bourse de New York, Mardi, 30 juillet 2019. Une faille de sécurité chez Capital One Financial, l'un des plus grands émetteurs de cartes de crédit du pays, compromis les informations personnelles d'environ 106 millions de personnes, et dans certains cas, le pirate a obtenu des numéros de sécurité sociale et de compte bancaire. (Photo AP/Richard Drew)
En 2017, une violation de données chez Equifax, l'une des principales sociétés d'évaluation du crédit, a exposé les numéros de sécurité sociale et d'autres informations sensibles d'environ la moitié de la population américaine.
La semaine dernière, Equifax a accepté de payer au moins 700 millions de dollars pour régler les poursuites pour violation dans un règlement avec les autorités fédérales et les États. L'accord comprend jusqu'à 425 millions de dollars d'allégement monétaire aux consommateurs.
De nombreuses grandes banques ont cherché à endiguer le risque de violation de données ces dernières années. JPMorgan Chase, Bank of America et Citibank ont commencé à remplacer les cartes de débit des clients il y a plusieurs années par des cartes à puce plus sécurisées. Alors que les cartes à puces sont courantes de nos jours, de nombreux commerçants comptent encore sur les plus anciens, équipement de balayage de carte moins sécurisé. Les sociétés émettrices de cartes de crédit ont également renforcé la surveillance de la fraude à la suite de violations de données très médiatisées qui ont touché des détaillants tels que Target et Home Depot.
Le coût moyen d'une violation de données aux États-Unis l'année dernière était d'un peu moins de 8 millions de dollars, selon une étude d'IBM Security et du Ponemon Institute.
Un défenseur public nommé pour représenter Thompson n'a pas immédiatement renvoyé un e-mail sollicitant des commentaires.
© 2019 La Presse Associée. Tous les droits sont réservés.
