|
הלקוחות לא נפגעו [צילום: אליז אמנדולה, AP]
|
|
|
|
|
בנק Capital One ישלם למפקח על המטבע בארה"ב קנס של 80 מיליון דולר בשל פריצת ענק למאגרי המידע שלו בשנה שעברה. בפריצה זו נגנבו פרטיהם של 100 מיליון בעלי כרטיסי אשראי – אחד מאירועי אבטחת המידע החמורים בתולדות המערכת הפיננסית האמריקנית.
המפקח על המטבע אומר (יום ה', 6.8.10), כי הקנס שהוטל על קפיטל בנק נובע מכשלונו לבצע הליכים יעילים של הערכת סיכונים, בטרם העביר חלק ניכר מהמידע שלו למיחשוב ענן (בשרתים של אמזון), ומכשלונו לתקן את הליקויים שהתגלו בתהליך בתוך פרק זמן סביר. המשמעות היא, שכשלים של הבנק הם שאפשרו את הפריצה שביצעה פייג' תומפסון, אשר נעצרה ביולי אשתקד; היא כפרה באשמה וממתינה למשפטה. לצד זאת, המפקח משבח את הבנק על המהירות בה הודיע ללקוחותיו על הפריצה ועל הפעולות שביצע אחריה.
הבנק מצידו אומר כי אמצעי הבקרה שהנהיג עוד לפני גילוי הפריצה, אפשרו לו להבטיח שהמידע שנגנב לא ישמש לצרכים כלשהם ולא יימחק, כמו גם לסייע לרשויות לעצור במהירות את תומפסון. בשנה שחלפה השקיע הבנק משאבים משמעותיים בחיזוק הגנות הסייבר שלו והתקדם בצורה ניכרת במילוי הדרישות ממנו, הוא מוסיף. קפיטל - אשר הוקם לפני 25 שנה בלבד - הוא הבנק העשירי בגודלו בארה"ב, עם נכסים בסך 390 מיליארד דולר בסוף 2019. בשנת 2019 הסתכמו הכנסותיו ב-28.6 מיליארד דולר והרווח הנקי היה 5.5 מיליארד דולר. הוא מעסיק 49,300 עובדים ומנייתו נכללת במדד סטנדרד אנד פור 100; שווי השוק שלו הוא 28.9 מיליארד דולר.
תומפסון, מהנדסת תוכנה בת 34, הועסקה בחברת Amazon Web Services השייכת לאמזון ומעניקה שירותי מיחשוב ענן, שעל לקוחותיה נמנה הבנק. תומפסון עצמה חשפה את מעשיה ברשת החברתית Meetup, בקבוצה הקרויה Seattle Warez Kiddies ומגדירה את עצמה כ"מקום מפגש לכל מי שמעריך פגיעה ברשתות ופצחנות". בשירות המסרונים Slack כתבה תומפסון: "עטפתי את עצמי בחגורת נפץ, חיבלתי במסמכים של קפיטל ואני מודה בזה". תומפסון כמובן לא חתמה בשמה האמיתי, אך זהותה נחשפה לאחר שהעלתה לרשת קבלה על תשלום תמורת טיפול באחת מחיות המחמד שלה. המידע שגנבה תומפסון כלל את פרטיהם של לקוחות שכרטיסי האשראי שלהם בקפיטל חויבו בידי עסקים קטנים ובינוניים בשנים 2019-2005, מספריהם של 80,000 חשבונות בנק, ומספרי הביטוח הלאומי של 140,000 אמריקנים ושל מיליון קנדים.
הבנק הבהיר עם מעצרה של תומפסון, כי על-פי בדיקתו - המספרים שנגנבו לא שימשו לביצוע הונאה כלשהי, כך שהלקוחות לא נפגעו בצורה פיננסית. עם זאת נראה, כי תומפסון לא ביצעה את הפריצה רק כדי להוכיח שהיא אפשרית - כפי שעושים לעיתים פצחנים - שכן חודש לפני מעצרה היא כתבה ברשת שברצונה להפיץ את פרטי הלקוחות. היא גם פרסמה רשימה של כמה חברות, גופי ממשל ומוסדות חינוך, במה שלטענת החוקרים היווה הזמנה לפצחנים אחרים לפעול נגדם.