اطلاعات بیش از 100 میلیون مشتری Capital One به سرقت رفت

اندکی بعد از توافق Equifax برای پرداخت غرامتی ناچیز به کاربران قربانی رخنه امنیتی این شرکت، حالا Capital One افشا کرده که فردی به سیستم آن‌ها هم نفوذ کرده و با استفاده از رخنه امنیتی دیوار آتش این شرکت، اطلاعات کاربران را به سرقت برده است.

بر اساس گفته‌های این کمپانی، هکر مذکور از یک آسیب‌پذیری در تنظیمات دیوار آتش وب آن برای دسترسی به داده‌های بیش از 100 میلیون نفر در آمریکا و 6 میلیون نفر در کانادا استفاده کرده است. حمله مذکور در روزهای دوم و سوم فرودین (22 و 23 مارس) سال جاری اتفاق افتاد.  در این حمله شماره تامین اجتماعی 140 هزار نفر و اطلاعات حساب بانکی 80 هزار نفر به سرقت رفت.

FBI ادعا کرده که شخص مسئول این حمله را دستگیر کرده است. بر اساس پرونده دادگاهی موجود این فرد «پیج تامپسون» نام دارد و یک مهندس نرم‌افزار است. تامپسون بین سال‌های 2015 تا 2016 در یک شرکت سرویس دهنده کلاود کار می‌کرده و Capital One هم جزو مشتریان آن‌ها بوده است.

در واقع تامپسون از رخنه امنیتی دیوار آتش Capital One باخبر شده و آن را در گیت هاب هم قرار داده است. روز 26 تیر (17 جولای) یکی از کاربران گیت هاب این پست را دید و به Capital One در مورد آن اطلاع داد. دو روز بعد هم این شرکت دزدی اطلاعات از سیستم‌هایش را تائید کرد.

Capital One در پی این حمله اعلام کرده که اطلاعات فرم ثبت نام افرادی که برای دریافت کارت اعتباری بین سال‌های 2005 تا 2016 اقدام کرده بودند دزدیده شده. این اطلاعات شامل نام، آدرس، کد پستی، شماره تلفن، تاریخ تولد و درآمد گزارش شده توسط خود ثبت نام کنندگان می‌شود. علاوه بر این اطلاعاتی مثل حد اعتبار، تاریخچه حساب و توازن حساب هم از کاربران دزدیده شده است.

با همه این‌ها FBI اعتقاد دارد که تامپسون این اطلاعات را در اختیار شخص یا اشخاص دیگری قرار نداده و از آن برای کلاهبرداری استفاده نکرده است. چرا که در صورتی که این اطلاعات در اختیار اشخاص ثالث قرار می‌گرفت آن‌ها قادر بودند با استفاده از آن به تدارک حملات فیشینگ و یا اخاذی از کاربران بپردازند.

دادگاه تامپسون روز اول آگوست برگزار خواهد شد و با اتهاماتی مثل کلاهبرداری و سو استفاده کامپیوتری، حکم حداکثر پنج سال زندان و جریمه 250 هزار دلاری در انتظار او خواهد بود.