Capital One dostał karę 80 milionów dolarów

Do naruszenia danych, które dotknęło aż 106 milionów użytkowników doszło w 2019 roku.

Amerykański regulator zdecydował się nałożyć karę w wysokości 80 milionów dolarów na dostawcę kart kredytowych Capital One Financial Group. Chodzi o zeszłoroczne naruszenie danych, które miało wpływ aż na 106 milionów Amerykanów.

Grzywna została nałożona przez Office of the Comptroller of the Currency (OCC), niezależne biuro w Departamencie Skarbu Stanów Zjednoczonych, które reguluje wykonywanie przepisów dotyczących banków krajowych.

OCC wydało swój komunikat w ten czwartek, uzasadniając swoją decyzję nieprawidłowościami, jakie wystąpiły podczas nieodpowiedniego zarządzania ryzykiem podczas migracji działu operacji IT do jednej z usług chmury publicznej. Migracja miała obejmować odpowiednie zaprojektowanie i wdrożenie pewnych usług, mających na celu kontrolę bezpieczeństwa sieci oraz odpowiednich środków, które miały na celu zapobiegać utracie danych oraz brak skutecznego wysyłania ostrzeżeń.

Dodatkowo OCC stwierdziło także, że dostawca kart kredytowych pozostawił zbyt wiele słabych punktów w miejscu, gdzie przechowywał dane w chmurze, co wykazał wewnętrzny audyt z 2015 roku. A także nie załatał podatności w zabezpieczeniach, co naruszyło wewnętrzne wytyczne, ustanawiające standardy bezpieczeństwa informacji.

Wszystkie wspomniane wyżej niedociągnięcia w zakresie bezpieczeństwa doprowadziły w zeszłym roku do masowego naruszenia bezpieczeństwa danych. Wtedy właśnie hakerowi udało się wykraść dane kart kredytowych ponad 106 milionów klientów Capital One.

Oprócz informacji o karcie kredytowej, hakerowi udało się ukraść także około 140 000 numerów ubezpieczenia społecznego i 80 000 numerów kont bankowych powiązanych z klientami w USA oraz milion numerów ubezpieczenia społecznego w Kanadzie.

Przestępca został zidentyfikowany jako były pracownik usług internetowych Amazon i nazywał się Paige Thompson, ale w sieci miał nick erratic.

Przestępca został aresztowany i oskarżony o nadużycia, za co grozi do pięciu lat więzienia i grzywna o wysokości 250 000 USD.

Okazało się, że do naruszenia doszło po tym, jak Thompson wykorzystał źle skonfigurowaną zaporę ogniową na serwerach w chmurze Amazon Web Services w marcu zeszłego roku i ukradł aż 700 folderów z danymi na serwerze.

Oczywiście kara pieniężna to nie wszystko. Capital One Finance musi koniecznie wzmocnić swoje zabezpieczenia i przedstawić plan, w jaki sposób zamierza to zrobić. Capital One Finance ma na to 30 dni.

Źrodła: