Header Ads

Home / Amazon / Notícias / Amazon e Capital One enfrentam repercussão legal após invasão maciça que afeta 106 milhões de clientes

Amazon e Capital One enfrentam repercussão legal após invasão maciça que afeta 106 milhões de clientes

sexta-feira, agosto 09, 2019 ,

Um grupo de clientes irritados entrou com uma ação contra a Capital One nesta semana após o hack que afetou mais de 106 milhões de pessoas. E eles não param por aí; o grupo também nomeou a Amazon Web Services, fornecedora de nuvem da Capital One, alegando que a gigante da tecnologia também é culpada pela violação.

O hack levou a várias ações e tornou-se Outro ponto crítico no debate sobre privacidade e segurança. Na sequência deste ataque, surgiram questões sobre se os fornecedores de tecnologia que abastecem empresas como a Capital One também devem ser responsabilizados. Um processo semelhante, apresentado na semana passada na Califórnia, trouxe o GitHub para a briga, argumentando que o repositório de código não conseguiu monitorar e responder aos dados hackeados em seu site.

O novo processo, aberto esta semana em tribunal federal em Seattle, é único porque inclui a Amazon como réu. Ele argumenta que a Amazon sabia sobre uma vulnerabilidade supostamente explorada pelo hacker Paige Thompson, de Seattle, para realizar o ataque e "não fez nada para consertá-lo". O suposto invasor, um ex-funcionário da AWS, invadiu um aplicativo da Web mal configurado. firewall.

"O comando de linha única que expõe as credenciais da AWS em qualquer sistema EC2 é conhecido pela AWS e é, de fato, incluído em sua documentação on-line", de acordo com a reclamação. "Também é bem conhecido entre os hackers."

Entramos em contato com a Amazon e a Capital One e atualizaremos este post se ouvirmos de volta.

O processo alega que as empresas não divulgou a violação quando souberam disso. O hack ocorreu em 22 e 23 de março, segundo a Capital One. Mas a empresa não foi notificada até 17 de julho, depois que um usuário do GitHub, chamado de pesquisador de segurança ética, sinalizou uma mensagem no site de código de Thompson falando sobre o roubo. Dois dias depois, em 19 de julho, o FBI foi notificado.

A ação coletiva proposta, que inclui demandantes de oito estados e uma organização sem fins lucrativos no Kentucky, alega que as duas empresas foram negligentes e violaram o Estado de Washington. Mark Bartholomew, um professor de direito cibernético da Universidade na Faculdade de Direito de Buffalo, disse ao Yahoo Finance que a resposta rápida da Capital One, juntamente com relatórios que Thompson não fez nada de mal com as informações obtidas no hack, poderia prejudicar os vários processos movidos contra as empresas. Bartholomew também disse que provedores de infra-estrutura como a Amazon normalmente não enfrentam responsabilidades em casos como este. , acrescentando que a Amazon e a Capital One provavelmente tinham um acordo atribuindo responsabilidade ao banco no caso de uma violação.

No início desta semana, o senador norte-americano Ron Wyden, do Oregon, enviou uma carta ao diretor-executivo da Amazon, Jeff Bezos. natureza do hack e se vuln As funcionalidades dos serviços em nuvem da empresa tinham alguma coisa a ver com isso. Embora a configuração adequada seja para os clientes da nuvem, Wyden quer descobrir se é uma vulnerabilidade que deixa os clientes da Amazon Web Services expostos regularmente. “Quando uma grande corporação perde dados em cem milhões de americanos por causa de uma erro de configuração, a atenção naturalmente se concentra nas práticas de segurança cibernética da corporação ”, diz a carta de Wyden. “No entanto, se várias organizações cometem erros de configuração semelhantes, é hora de perguntar se a tecnologia subjacente precisa ser mais segura e se a empresa que a faz compartilha a responsabilidade pelas violações.”

A Capital One disse anteriormente que “esse tipo de vulnerabilidade não é específico para a nuvem. Os elementos da infraestrutura envolvidos são comuns aos ambientes de data center na nuvem e local. ”

Thompson é encarregado de invadir os bancos de dados da Capital One e obter acesso a aproximadamente 140.000 números da Previdência Social e 80.000 números de contas bancárias. Thompson foi preso no mês passado pelo hack, que foi uma das maiores violações de um grande serviço financeiro, impactando 100 milhões de pessoas nos EUA e 6 milhões de pessoas no Canadá.

A maioria das informações comprometidas veio dos dados do aplicativo de cartão de crédito enviados entre 2005 e 2019 que incluíam nomes, endereços, códigos postais / códigos postais, números de telefone, endereços de e-mail, datas de nascimento e renda autorreferida. Informações de pontuação de crédito, histórico de pagamento, dados de transação, informações de contato e muito mais também foram obtidas.

A Capital One disse no momento da divulgação que é “improvável que a informação tenha sido usada para fraude ou disseminada por esse indivíduo.” Nenhum número de conta de cartão de crédito ou credenciais de login foram comprometidos. O incidente custará à empresa de US $ 100 a US $ 150 milhões este ano para cobrir notificações de clientes, monitoramento de crédito, custos de tecnologia e suporte legal. O Wall Street Journal notou que Thompson entrou no serviço de metadados da Amazon, que possui credenciais importantes. Thompson então procurou computadores vulneráveis ​​para obter acesso às redes internas de uma empresa - batendo nas “portas da frente para procurar por aqueles que estavam desbloqueados”, por WSJ - e se deparou com a má configuração do Capital One.

um artigo da Forbes investigando se Thompson explorou a vulnerabilidade da AWS para hackear outras organizações, incluindo a Michigan State University, o Departamento de Transportes de Ohio, o banco italiano UniCredit SpA e a Ford.

Aqui está o processo completo:

Ação de classe vs. Capital One e Amazon por Nat Levy no Scribd

Via: Geek Wire

Nenhum comentário

Assinar: Postar comentários ( Atom )