Uma engenheira de software de Seattle invadiu um servidor que detinha informações sobre clientes do banco Capital One e obteve dados pessoais sobre mais de 100 milhões de pessoas, revelaram procuradores da justiça federal dos Estados Unidos na segunda-feira, em um dois maiores casos de roubo de dados de um banco.
A suspeita, Paige Thompson, 33, deixou uma trilha online para que os investigadores seguissem, e se vangloriou de suas ações como "hacker", de acordo com documentos judiciais em Seattle, onde ela foi detida e acusada de fraude de computação e abuso.
Thompson, que trabalhou para a Amazon Web Services, que hospedava o banco de dados do Capital One que foi violado, não era tímida quanto ao seu trabalho como hacker. Ela é definida como organizadora de um grupo na rede social Meetup chamado Seattle Warez Kiddies, descrito como ponto de encontro para "todos os interessados em sistemas distribuídos, programação, 'hacking' e 'cracking'"; O Serviço Federal de Investigações (FBI) percebeu suas atividades no Meetup e as usou para rastrear outras atividades online, terminando por vinculá-la a mensagens que descreviam o roubo de dados, no Twitter e no serviço de mensagens Slack.
"Eu basicamente vesti um colete explosivo", escreveu Thompson em uma mensagem no Slack, de acordo com os procuradores, "ao derrubar os 'dox' [arquivos de informações pessoais] do capital one e admitir."
Online, ela usava o apelido "erratic", disseram os investigadores, acrescentando que confirmaram sua identidade depois que ela postou uma foto de uma fatura que tinha recebido de um veterinário que estava tratando um de seus animais.
De acordo com documentos judiciais e com o Capital One, Thompson roubou 140 mil números de seguro social e 80 mil números de contas bancárias em sua invasão.
Além dos dados de dezenas de milhões de solicitações de cartões de crédito que ela roubou, a empresa afirmou na segunda-feira (29), a violação também afetou um milhão de números de seguro social canadenses.
As informações vieram de solicitações de cartões de crédito que consumidores e pequenas empresas fizeram de 2005 em diante, e até 2019, de acordo com o Capital One, que é o terceiro maior emissor de cartões de crédito dos Estados Unidos, de acordo com o site do banco.
"Com base em nossa análise até o momento", o banco afirmou em comunicado, "acreditamos que seja improvável que a informação tenha sido usada para fraudes ou disseminada pela pessoa em questão."
O banco afirmou também que antecipava custos de US$ 150 milhões (R$ 568 milhões) com a violação de dados, o que incluiria pagamento por monitoração de crédito dos clientes afetados. Na semana, o serviço de classificação de crédito Equifax fechou acordo para resolver uma violação de dados em 2017 que expôs informações delicadas sobre 147 milhões de consumidores, o que lhe acarretou custos de cerca de US$ 650 milhões (R$ 2,4 bilhões).
A Amazon Web Services hospeda os servidores remotos de dados que companhias empregam para armazenar suas informações, mas grandes companhias como o Capital One criam aplicativos próprios usando os sistemas de computação em nuvem da Amazon, de forma a empregar informações que atendam suas necessidades específicas.
O agente do FBI que investigou a violação afirmou em documentos judiciais que Thompson obteve acesso aos dados sensíveis por meio de uma "configuração errônea" de firewall em um aplicativo de web. Isso permitiu que a hacker se comunicasse com o servidor no qual o Capital One armazenava suas informações e que obtivesse lá os arquivos sobre os clientes.
A Amazon disse que seus clientes controlavam plenamente os aplicativo que desenvolviam, e o Capital One anunciou em comunicado que havia "resolvido imediatamente a vulnerabilidade de configuração" assim que descobriu o problema. A Amazon afirmou não ter descoberto indícios de que os serviços de computação em nuvem subjacentes tenham sido comprometidos.
Em 17 de julho, um denunciante escreveu a um endereço de segurança do Capital One alertando que alguns dados do banco pareciam ter sido "vazados", de acordo com a queixa-crime.
Uma vez alertadas sobre a violação, as autoridades encontraram o que descreveram como mensagens online de Thompson alardeando que iria "distribuir" os materiais obtidos. Em 27 de junho, ela também mencionou "diversas empresas, entidades governamentais e instituições educacionais", de acordo com documentos judiciais, que os investigadores compreenderam como outras violações de sistemas que Thompson "pode ter cometido".
Outros usuários do canal do Slack expressaram preocupação. Um deles escreveu "por favor não vá para a cadeia".
Na segunda-feira, agentes do FBI realizaram buscas na casa de Thompson. Apreenderam "numerosos dispositivos digitais", segundo os procuradores, e identificaram neles "itens referentes ao Capital One" e à Amazon, que foi identificada na queixa apenas como "companhia de computação em nuvem".
"Lamento muito pelo que aconteceu", afirmou Richard Fairbank, presidente-executivo do Capital One, em comunicado. "Peço desculpas sinceras pela preocupação compreensível que esse incidente deve estar causando aos atingidos, e assumo o compromisso de corrigir o problema."
O Capital One anunciou que números de contas bancárias estavam vinculados a clientes com cartões de crédito "protegidos". Receber cartões protegidos requer que um cliente pague taxa de entre US$ 200 (R$ 758) e US$ 250 (R$ 947).
"É uma maneira de os bancos minimizarem o risco associado a emprestar dinheiro para pessoas que não têm crédito perfeito ou estão no começo da vida de trabalho", disse Matt Schulz, analista da Compare Cards. Schulz disse que esses clientes são vulneráveis e "muitas vezes têm pouca margem de erro financeiro."
Embora a violação tenha sido tornada possível pelo lapso de segurança do Capital One, o conhecimento especializado de Thompson a ajudou na operação. Informações divulgadas na mídia social mostram que ela trabalhou para a Amazon como engenheira, na mesma divisão de servidores que o Capital One estava usando, de acordo com os documentos judiciais.
O Capital One é um cliente duradouro e importante da Amazon. Em um discurso na conferência anual da Amazon Web Services em 2015, um executivo do Capital One falou sobre os esforços da empresa para transferir partes críticas de sua tecnologia para os serviços em nuvem da Amazon, para que o banco pudesse se concentrar em criar aplicativos para consumidores e em outras necessidades.
Thompson ficará em custódia federal até uma audiência na quinta-feira (1º), disseram, os procuradores. O advogado dela não respondeu a um pedido de comentário via email.
O Capital One já enfrentou violações de dados antes, e elas são uma ameaça constante e dispendiosa para o setor financeiro. O presidente do banco JPMorgan Chase, Jamie Dimon, disse que seu banco gasta quase US$ 600 milhões (R$ 2,2 bilhões) ao ano com segurança. O presidente do Bank of America disse no passado que o banco tem um "cheque em branco" para gastos com segurança cibernética.
Em uma violação em 2017, o Capital One notificou os clientes de que um ex-empregado pode ter tido acesso por quase quatro meses aos seus dados pessoais, entre os quais números de contas, números de telefone, histórico de transações e números de seguro social. A empresa reportou violação semelhante envolvendo um empregado em 2014.
The New York Times, tradução de Paulo Migliacci
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.