Une employée arrêtée après avoir consulté 100 millions de données de Capital One

Posted On 30 Juil 2019

Tag: banque, data leak, infiltration, Internet of Things

La société Capital One Financial Corp. vient d’annoncer qu’une ancienne employée d’Amazon venait d’être arrêtée. Elle a consulté environ 100 millions de données appartenant aux clients de l’entreprise financière.

Après le Canada et le cas de l’entreprise financière Desjardins, c’est au tour d’une grande structure financière américaine d’alerter ses clients, et la justice, d’une consultation interne malveillante. Une ancienne employée d’un partenaire informatique a visité le cloud Amazon de Capital One Financial Corp.

Elle a pu consulter environ 100 millions de données clients. Arrêtée, le tribunal de Seatle accuse cette femme de s’être introduite dans le cloud de la banque. Identification de la malveillante par son ancien employeur, Amazon Inc.

Ancienne employée Amazone !

Paige A. Thompson, la dame, a été arrêtée lundi 29 juillet 2019. Elle a comparu devant un tribunal fédéral à Seattle. Le vol de données s’est produit entre le 12 mars et le 17 juillet 2019. Thompson était une employé d’Amazon Web Services… en 2016. La brèche décrite par Capitol One n’exigeait pas de connaissances particulières. Toutefois, il est clairement établi que cette faille n’est aucunement due à une « configuration bancale » du S3 mais à mauvaise configuration d’un pare-feu sur une application Web.

Environ six millions de personnes au Canada également impactés par cette brèche.

Un exemple de boutique pirate et des données bancaires à vendre.

Numéros de sécu et données bancaires

Selon les informations de ZATAZ, des européens seraient aussi dans le lot. Les données correspondent aux demandes de cartes de crédit, entre 2005 à début de l’année 2019. Informations comportant : noms, adresses, numéros de téléphone, dates de naissance, revenus auto-déclarés, scores du niveau de crédit et extraits des historiques de transactions.

Environ 140 000 numéros de sécurité sociale consultés. 80 000 numéros de compte bancaire de clients de cartes de crédit. La « pirate » encourt une peine maximale de cinq ans d’emprisonnement et une amende de 250 000 $. Elle apprendra, demain 1er août, si elle reste en prison.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.