Vazamento da Capital One é uma das maiores violações dos EUA

Vazamento da Capital One é uma das maiores violações dos EUA. Hacker obteve acesso a contas de clientes e aplicativos de cartão de crédito através do comprometimento do WAF. 

A violação de dados do Capital One é uma das mais extensas violações de uma instituição financeira dos EUA, tendo afetado cerca de 100 milhões de pessoas nos Estados Unidos e cerca de 6 milhões de pessoas no Canadá, de acordo com a Capital One.

Capital One disse que o hack ocorreu 22 e 23 de março e inclui pedidos de cartão de crédito desde 2005 e, na divulgação do incidente em seu site, a empresa diz que “determinamos que um indivíduo externo obteve acesso não autorizado e obteve certos tipos de informações pessoais sobre clientes de cartão de crédito Capital One e indivíduos que solicitaram nossos produtos de cartão de crédito.”

A Capital One afirma que “imediatamente resolveu a questão e prontamente começou a trabalhar com as autoridades federais. A pessoa responsável foi presa.” e que “com base em nossa análise até o momento, acreditamos que é improvável que a informação tenha sido usada para fraude ou disseminada por esse indivíduo. No entanto, continuaremos a investigar.”

As ações da Capital One caíram 5% no pregão de pré-mercado na terça-feira, segundo a CNN 

A violação afetou cerca de 100 milhões de pessoas nos Estados Unidos e cerca de 6 milhões de pessoas no Canadá, de acordo com a Capital One. No entanto, “nenhum número de conta de cartão de crédito ou log-in credenciais foram comprometidos e mais de 99% dos números da Segurança Social não foram comprometidos“, observou a empresa.

A Capital One informou que notificará as pessoas afetadas pela violação e disponibilizará monitoramento de crédito e proteção de identidade gratuitos. A empresa espera incorrer entre US $100 milhões e US $150 milhões em custos relacionados ao hack, incluindo notificações de clientes, monitoramento de crédito, custos de tecnologia e suporte legal devido ao hack.

Hacking

A violação, ocorrida entre 12 de março e 17 de julho, supostamente envolveu Paige Thompson, uma hacker de 33 anos que vive em Seattle, que acessou dados confidenciais de usuários por meio de configurações de firewall comprometidas, que aparentemente permitiam que ela acessasse dados em 700 arquivos de um dos buckets Amazon Web Services S3 da Capital One. A invasão, no entanto, só chegou ao conhecimento da equipe de segurança da Capital One quando recebeu um e-mail alertando sobre a presença de dados no GitHub, bem como nas mídias sociais, de acordo com os documentos do tribunal.

Os dados bancários expostos incluíram certos detalhes sobre 100 milhões de indivíduos nos EUA, bem como dados sobre quase 6 milhões de residentes do Canadá,  140.000 números da Previdência Social, 1 milhão de números de seguridade social canadense e 80.000 números de contas bancárias, além de um número não revelado de nomes de pessoas, endereços, pontuação de crédito, limites de crédito saldos e outras informações, de acordo com o banco e o Departamento de Justiça dos EUA.

Uma queixa criminal diz que Thompson tentou compartilhar as informações com outras pessoas online . Thompson já havia trabalhado como engenheiro de software da empresa de tecnologia para Amazon Web Services, que era utilizada pela Capital One, disse o Departamento de Justiça. 

A Capital One afirma que o intruso executou um comando que recuperou as credenciais de segurança para a conta de administrador de um firewall de aplicativo da Web, de acordo com o processo baseado em uma declaração juramentada de um agente especial do FBI. Ela teria conseguido acesso explorando um firewall de aplicativos da Web (WAF) configurado incorretamente. 

Thompson foi preso segunda-feira, dia 29,  em conexão com a violação, o Departamento de Justiça disse. O advogado de Thompson não pôde ser imediatamente contatado para comentar.

A queixa criminal contra Thompson mostra uma imagem de um suspeito pouco cuidadoso. Thompson postou as informações no GitHub, usando seu primeiro nome completo, meio e sobrenome, diz a reclamação. Ela também se gabou na mídia social de que tinha informações sobre o Capital One.

Em um canal no Slack, um serviço de bate-papo frequentemente usado por empresas e outros grupos, Thompson explicou o método que usou para entrar no Capital One, segundo o Departamento de Justiça. Ela alegou usar um comando especial para extrair arquivos em um diretório Capital One armazenado nos servidores da Amazon.

Eu quero tirá-lo do meu servidor e é por isso que estou arquivando tudo isso |o|“, supostamente postado por Thompson no Slack. Uma pessoa ficou alarmada com o que Thompson descobriu, escrevendo que a informação era “incompleta“, acrescentando que “não vá para a cadeia, por favor“.

Thompson fez pouco esforço para disfarçar sua identidade. Ela supostamente usou o nome de tela “erratic” no Slack, que era o mesmo identificador que ela usava em uma conta no Twitter e uma página de sala de bate-papo do Meetup.

O agente especial do FBI que investigou Thompson acredita que Thompson twittou que ela queria distribuir os números da Previdência Social junto com os nomes completos e as datas de nascimento.

Uma pessoa que viu as informações no GitHub notificou o Capital One dos “dados vazados” pertencentes à empresa. A Capital One notificou o FBI e um agente revistou a residência de Thompson. Eles encontraram dispositivos em sua posse que fazem referência ao Capital One e à Amazon, bem como a outras entidades que podem ter sido alvo de tentativas – ou reais – violações.

O processo indica que Thompson “reconhece que ela agiu ilegalmente

Ignorando o WAF

Em teoria, um invasor não deveria poder passar por um firewall de aplicativo da Web e acessar imediatamente arquivos confidenciais, diz Troy Hunt , especialista em violação de dados e criador do site de notificação de violação de dados Have I Been Pwned .

Os WAFs são ótimos, mas deve haver uma camada adicional de segurança, e os próprios recursos subjacentes precisam estar seguros“, diz Hunt. Para argumentar, se isso foi falta de autenticação em um recurso, e eles estavam apenas contando com o WAF para manter as pessoas fora, então isso é uma visão extremamente equivocada

“É possível que a Capital One não tenha atualizado regularmente as credenciais”

O processo indica que Thmpson ignorou um firewall Capital One mal configurado e obteve credenciais administrativas para uma conta, que é descrita como “***** – WAF-ROLE” .Essa conta tinha privilégios suficientes para visualizar e copiar dados por trás do firewall, resultando na violação

currículo de Thompson diz que ela trabalhou para a Amazon S3 em Seattle entre maio de 2015 e setembro de 2016. Isso levou a especulações sobre se o tempo dela ajudaria em sua capacidade de realizar a suposta intrusão.

É possível que a Capital One não tenha atualizado regularmente as credenciais para a conta de administrador do firewall de aplicativos da Web, diz Brian Vecci, diretor de tecnologia de campo da Varonis. Isso seria particularmente importante se Thompson tivesse sido, ao mesmo tempo, um administrador autorizado do firewall.

Armazenando Dados Antigos

Outra questão é por que tantos dados não foram criptografados. A Capital One diz que alguns dados foram criptografados e tokenizados, mas muitos não foram.

Uma possibilidade é que os dados foram realmente criptografados em circunstâncias normais, mas que a conta de administrador usada para acessá-los permitiu que fossem exibidos descriptografados, diz Ron Burley, chefe de segurança global da Instart .

O que parece ter acontecido é que ela conseguiu acesso a uma instância em execução na AWS e usou essa função para atingir o bucket do S3“, diz Burley. “Se ela fizesse isso por meio de um IAM [sistema], seu nível de acesso também teria seu acesso aos dados em piggy-back. Isso incluiria as chaves necessárias para descriptografar dados, tornando qualquer encriptação discutível.

Hunt diz que uma questão mais relevante é por que a Capital One ainda precisava de dados de aplicativos de cartão de crédito de até 14 anos atrás. Os dados pessoais cobriram 100 milhões de pessoas e foram coletados entre 2005 e o início deste ano.

Os dados incluem nomes de candidatos, endereços, datas de nascimento, históricos de crédito, saldos e históricos de pagamento. A orientação predominante atualmente é que as organizações não devem manter os dados desnecessários.

Isso está codificado no Regulamento Geral de Proteção de Dados da Europa – GDPR , que diz que as organizações geralmente devem excluir dados pessoais quando não forem mais necessários para o propósito que foram coletados, como se alguém fechasse a conta.

Mas Hunt diz que “as organizações tendem a olhar os dados como um ativo, e eles nunca olham para isso como um passivo“.

E Vecci, diretor da Varonis, acrescenta: “Quando se trata de arquivar segurança de dados, as pessoas não excluem nada, e isso é um problema. Foi um problema na violação da Sony, e agora é um problema.

GitHub também é citado

No processo da Califórnia contra o Capital One e o GitHub, os advogados alegam que o GitHub não conseguiu rapidamente remover os dados confidenciais do usuário, apesar de o hacker postar diretamente o conteúdo em uma página do site. A ação alega que os dados foram publicamente acessíveis a partir do momento em que foram enviados, de 21 de abril a meados de julho. O processo também alega que o GitHub promove o hacking e disponibiliza recursos para atividades fraudulentas prontamente disponíveis.

O GitHub sabia ou deveria saber que dados pirateados, obviamente, haviam sido postados no GitHub.com. De fato, o GitHub encoraja ativamente (pelo menos) o “hacking amigável”, como evidenciado pela página ‘Awesome Hacking’ do GitHub.com“, de acordo com o processo. .

Ao permitir que informações confidenciais do usuário, como números da Previdência Social e outras informações pessoais, estejam no site, o processo alega que o GitHub violou o código civil da Califórnia, bem como vários estatutos federais relacionados à interceptação e divulgação de comunicações eletrônicas.

A ação da Califórnia também alega que a Capital One não conseguiu manter os dados dos consumidores seguros e protegidos contra hackers, e alega que o banco não investigou a violação o mais rapidamente possível. Por isto, requer uma compensação não especificada do Capital One e do GitHub.

Capital One

A Capital One está em 10º lugar na lista dos maiores bancos dos Estados Unidos em ativos. O banco tem 755 agências, incluindo 30 locais no estilo café e 2.000 caixas eletrônicos. Ele está classificado em 98º lugar na lista Fortune 500 , em 17º lugar na lista das 100 Melhores Empresas para Trabalhar da Fortune e conduz negócios nos Estados Unidos, no Canadá e no Reino Unido.

A empresa ajudou a promover o marketing em massa de cartões de crédito nos anos 90. Em 2016, foi o 5º maior emissor de cartões de crédito em volume de compras, após American Express , JP Morgan Chase , Bank of America e Citigroup . 

Com uma participação de mercado de 5%, a Capital One também é a segunda maior empresa de financiamento de automóveis nos Estados Unidos, depois da Ally Financial . [7]

No quarto trimestre de 2018, 75% do faturamento da empresa era proveniente de cartões de crédito, 14% de banco de consumo e 11% de banco comercial.

Fonte: ISMG & Capital One & CNN

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Risco de Segurança na nuvem é igual ou menor que on-premisses
  2. Risco de Segurança na nuvem é igual ou menor que on-premisses – Information Security
  3. Risco de Segurança na nuvem é igual ou menor que on-premisses – Neotel Segurança Digital

Deixe sua opinião!