A violação do Capital One é mais complicada do que parece


  

Na noite de segunda-feira, a Capital One e seus clientes receberam algumas notícias muito ruins . A empresa havia sido violada, espalhando centenas de milhares de números de seguridade social e detalhes de contas para o público. O Procurador Geral de Nova York está já investigando se a Capital One é negligente, mas a história mais ampla é familiar: uma grande empresa deixou muitos dados confidenciais desaparecerem e os clientes suportaram a maior parte do risco.

Mas quanto mais você olha, mais estranha é a história. O suposto hacker, Paige Thompson também conhecido como "Erratic", foi capturado e acusado ao mesmo tempo em que a violação se tornou pública, e ela não parecia interessada em cobrir seus rastros. Não sabemos exatamente o que ela fez com os dados depois que conseguiu, mas ela não se encaixa no perfil da maioria dos golpistas, que tendem a vender informações assim em mercados clandestinos assim que podem. Ao mesmo tempo, a vulnerabilidade inicial parece ter sido mais uma má configuração do servidor do que uma exploração extravagante, levando alguns a se perguntar se Thompson poderia ter sido um pesquisador bem-intencionado que foi um pouco longe demais. Ainda não sabemos o que ela buscava na coleta desses dados, mas ainda há muito mais perguntas do que respostas.

A maior anomalia é como a violação foi descoberta em primeiro lugar. Segundo a queixa federal a violação ocorreu em etapas entre março e abril de 2019. Mas a Capital One só tomou conhecimento do problema em 17 de julho, quando alguém avisou a empresa de que seus dados privados haviam sido enviados para uma página pública do GitHub. A partir daí, foi fácil para os investigadores descobrirem quem era a página e como conseguiram os dados.

É difícil exagerar o quão incomum isso é para um caso de violação. Normalmente, os dados só são descobertos depois de passarem por vários intermediários e raramente é tão fácil determinar exatamente quando e como foram feitos. Levou anos para rastrear todas as várias pessoas envolvidas na violação do Target, para escolher um exemplo. Os processos revelaram um tipo completamente diferente de organização: uma parte fazendo o software, outra parte o usando para coletar dados de cartão de crédito, que foi então vendido para outro grupo que usou para cometer fraudes. Processar todas essas pessoas significou um enorme esforço internacional, centrado na Letônia e na Europa Oriental. Em contraste, Thompson foi levado em custódia menos de um mês após a dica inicial.

Não sabemos por que Thompson decidiu publicar os dados em uma página pública do GitHub, mas há motivos para pensar que ela realmente não viu o que estava fazendo como criminosa. Ela descreveu abertamente suas técnicas no Twitter (isso é parte do motivo pelo qual sabemos muito sobre como isso aconteceu) e não parece ter sido tímida em compartilhar informações. O resto do que sabemos vem de uma sala do Slack mantida por Thompson. Consegui ter acesso a essa sala do Slack até que ficou offline ontem, junto com vários outros repórteres, e as conversas de Thompson sobre a violação foram alarmantes e casuais. Imediatamente depois que uma conta chamada "Erratic" listou o conteúdo do despejo, um amigo respondeu: "merda esquisita … não vá para prz de prisão."

Thompson parecia ciente de algum perigo, mas não da escala da ameaça. "Eu quero tirá-lo do meu servidor, é por isso que estou arquivando tudo isso, lol", escreveu Erratic. “Tudo é criptografado. Eu só não quero isso por aí. ”

Os detalhes técnicos da violação tornam ainda mais complicada. O que Thompson fez só foi possível porque o Capital One configurou mal o seu servidor Amazon. Thompson trabalhou na Amazon anos antes, por isso ela tem sido descrita por alguns como uma "ameaça interna". Mas farejar esse tipo de configuração incorreta é um passatempo comum para os pesquisadores de segurança. (A UpGuard Security, em particular, construiu uma boa reputação apenas a partir de verificação de servidores mal configurados .) Essas configurações incorretas são tão comuns e tão facilmente corrigidas que nem sempre são consideradas uma violação, embora, é claro, verificar essas instâncias sem violar nenhuma lei pode ser um negócio delicado.

Pode ser difícil distinguir a diferença entre pesquisa de segurança e empresa criminosa do exterior. Nenhum desses fatos é uma indicação de que Thompson não é culpada do que foi acusada. Enquanto ela pegasse os dados, a lei não se importa por que ela fez isso. Nós realmente não sabemos por que ela pegou os dados, ou por que ela manteve isso por meses sem relatar o problema para a Capital One. Não sabemos se ela tentou denunciar de alguma forma, ou se ela tentou lucrar com os dados de maneiras que ainda não foram reveladas. A própria Thompson pode ter tido problemas para saber de que lado da lei ela estava. Mas, como descrevemos os problemas da Capital One nos mesmos termos das violações anteriores, é um motivo para pensar que essa é mais complicada do que parece.



Source link



Os comentários estão desativados.