ロジャー・フィンガス
· 1分で読めます
シアトルの女性が、キャピタル・ワンにハッキングを仕掛け、米国の銀行の顧客口座1億件以上にアクセスした罪で逮捕、起訴された。
CNNは、キャピタル・ワンと米国司法省の裁判所提出書類を引用し、ペイジ・トンプソン容疑者が14万件の社会保障番号、100万件のカナダ社会保険番号、そして8万件の銀行口座番号を、すべて暗号化されていない状態で入手したと報じた。盗まれた情報には、氏名、住所、残高、信用スコアなどが含まれていたが、ログイン情報やクレジットカード番号は含まれていなかった。
トンプソン氏は以前、キャピタル・ワンのホスティングパートナーであるAmazon Web Servicesでソフトウェアエンジニアとして働いていました。3月22日と23日に発生した侵入事件では、ウェブアプリのファイアウォール設定を悪用し、データを他の場所と共有する意図があったとされています。
このハッキングの被害を受けたアメリカ人は合計で約1億人、カナダでは600万人に上ります。キャピタル・ワンは被害者に通知し、無料の信用情報監視と個人情報保護を提供しています。同行は、これらの費用に加え、技術面および法的問題で1億ドルから1億5000万ドルの負担を見込んでいます。
司法省によると、トンプソン容疑者が逮捕されたのは、フルネームを使ってGitHubに情報を投稿し、さらにSlackやソーシャルメディアで強盗について自慢していたためだという。
「サーバーから削除したいから、全部アーカイブしてるの(笑)」と彼女はSlackに書いた。
Slackでは、彼女はTwitterやMeetupでのアイデンティティと同じ「erratic」というニックネームを使用していました。彼女のTwitter投稿には、名前、誕生日、社会保障番号を明かしたいという主張が含まれていたと言われています。
GitHub上の大量のデータは、キャピタル・ワンに通報された人物によって発見され、キャピタル・ワンは情報をFBIに提供しました。トンプソン氏の自宅を捜索したところ、Amazonやキャピタル・ワン、そしてハッキングされた可能性のある他の企業に関する情報が入ったデバイスが見つかりました。司法省によると、トンプソン氏は「違法行為を行ったことを認識している」とのことです。
大企業におけるデータ侵害は、犯罪者や国家機関の膨大な数、そして新たな脆弱性の頻繁な発見により、ほぼ定期的に発生しており、回避することは困難です。このようなインシデントは、公表されない場合、多大な損害を被る可能性があります。Equifaxは最近、1億4000万人のアメリカ人の個人情報を危険にさらした侵害の調査を和解するため、7億ドル以上の支払いに同意しました。
Apple は比較的影響を受けずに済んでいるが、イスラエルの企業が最近、標的の iPhone にマルウェアをインストールすることで iCloud のセキュリティを破ることができると発言した。