Une employée arrêtée après avoir consulté 100 millions de données de Capital One

La société Capital One Financial Corp. vient d’annoncer qu’une ancienne employée d’Amazon venait d’être arrêtée. Elle a consulté environ 100 millions de données appartenant aux clients de l’entreprise financière.

Après le Canada et le cas de l’entreprise financière Desjardins, c’est au tour d’une grande structure financière américaine d’alerter ses clients, et la justice, d’une consultation interne malveillante. Une ancienne employée d’un partenaire informatique a visité le cloud Amazon de Capital One Financial Corp.

Elle a pu consulter environ 100 millions de données clients. Arrêtée, le tribunal de Seatle accuse cette femme de s’être introduite dans le cloud de la banque. Identification de la malveillante par son ancien employeur, Amazon Inc.

Ancienne employée Amazone !

Paige A. Thompson, la dame, a été arrêtée lundi 29 juillet 2019. Elle a comparu devant un tribunal fédéral à Seattle. Le vol de données s’est produit entre le 12 mars et le 17 juillet 2019. Thompson était une employé d’Amazon Web Services… en 2016. La brèche décrite par Capitol One n’exigeait pas de connaissances particulières. Toutefois, il est clairement établi que cette faille n’est aucunement due à une « configuration bancale » du S3 mais à mauvaise configuration d’un pare-feu sur une application Web.

Environ six millions de personnes au Canada également impactés par cette brèche.

Un exemple de boutique pirate et des données bancaires à vendre.

Numéros de sécu et données bancaires

Selon les informations de ZATAZ, des européens seraient aussi dans le lot. Les données correspondent aux demandes de cartes de crédit, entre 2005 à début de l’année 2019. Informations comportant : noms, adresses, numéros de téléphone, dates de naissance, revenus auto-déclarés, scores du niveau de crédit et extraits des historiques de transactions.

Environ 140 000 numéros de sécurité sociale consultés. 80 000 numéros de compte bancaire de clients de cartes de crédit. La « pirate » encourt une peine maximale de cinq ans d’emprisonnement et une amende de 250 000 $. Elle apprendra, demain 1er août, si elle reste en prison.