Un ex ingegnere di Amazon Web Services (AWS) è stato dichiarato colpevole di aver violato i sistemi di archiviazione cloud dei clienti e di aver rubato i dati legati alla massiccia violazione di Capital One del 2019. La Corte distrettuale degli Stati Uniti di Seattle ha condannato venerdì Paige Thompson per sette capi d’accusa di frode informatica e telematica, un reato punibile fino a 20 anni di carcere.

Thompson, che online si faceva chiamare “Erratic”, è stato arrestato per aver effettuato l’hacking di Capital One nel luglio 2019.. La violazione è stata una delle più grandi mai registrate, esponendo nomi, date di nascita, numeri di previdenza sociale, indirizzi e-mail e numeri di telefono di oltre 100 milioni di persone negli Stati Uniti e in Canada. Capital One è stata multata per 80 milioni di dollari per aver presumibilmente omesso di proteggere i dati degli utenti e per averli resi pubblici. e si è accordata con i clienti interessati per 190 milioni di dollari.

A comunicato stampa del Dipartimento di Giustizia (DOJ) afferma che la Thompson ha sviluppato uno strumento che scansionava AWS alla ricerca di account mal configurati e poi sfruttava questi account per ottenere l’accesso ai sistemi di Capital One e di decine di altri clienti AWS. I procuratori affermano inoltre che la Thompson ha “dirottato” i server delle aziende per installare un software di estrazione di criptovalute che avrebbe trasferito i guadagni al suo portafoglio personale di criptovalute. Poi si è “vantata” delle sue malefatte nei forum online e nei messaggi di testo.

All’epoca si discuteva se la Thompson fosse un hacker etico o un ricercatore di sicurezza a causa della sua insolita franchezza sul suo ruolo nell’attacco a Capital One: ha pubblicato i dati sensibili dei clienti su una pagina GitHub pubblica e ha condiviso i dettagli della violazione su Twitter e Slack. All’inizio di quest’anno, il Dipartimento di Giustizia ha chiarito che non avrebbe perseguito i ricercatori di sicurezza ai sensi della legge sulle frodi e gli abusi informatici. Ma i procuratori statunitensi non erano ovviamente convinti che le azioni di Thompson rientrassero in questa eccezione.

“Lungi dall’essere un hacker etico che cercava di aiutare le aziende con la loro sicurezza informatica, ha sfruttato gli errori per rubare dati preziosi e ha cercato di arricchirsi”, ha dichiarato il procuratore statunitense Nick Brown in un comunicato. L’udienza di condanna della Thompson si terrà il 15 settembre 2022.

Source link