Paige Thompson a dérobé les données de 106 millions de clients en 2019. Elle s’était servie des informations recueillies lorsqu’elle était ingénieure chez Amazon Web Services pour commettre son méfait.
C’est l’un des plus gros vols de données de l’histoire des Etats-Unis. Paige Thompson a siphonné les informations de 100 millions d’Américains et de 6 millions de Canadiens en mars 2019. Des clients de la banque Capital One qui avaient demandé une carte de crédit. Un jury fédéral de Seattle l’a reconnue coupable de fraude électronique et de piratage.
Sa défense avait mis en avant des problèmes de dépression et tenté de la faire passer pour une hackeuse éthique. Une thèse qui n’a pas convaincu le département de la Justice, convaincu qu’elle n’a jamais eu l’intention d’informer la banque de ce qu’elle avait fait. La jeune femme de 33 ans au moment de l’événement avait réussi à récupérer 120 000 numéros de sécurité sociale et 77 000 numéros de compte bancaire.
Les serveurs étaient mal configurés
Si elle a réussi cet exploit, c’est en se servant de son expérience comme ingénieure chez Amazon Web Services, la branche de services de cloud computing d’Amazon. Mais elle n’était déjà plus en poste lorsqu’elle est passée à l’action. Elle a tout simplement recherché des clients vulnérables d’AWS parce qu’ils avaient mal configuré leurs serveurs et notamment le pare-feu censé les protéger. Elle savait que c’était le cas de Capital One. Elle a ensuite exploité cette faiblesse pour se faire passer pour un utilisateur autorisé. Le système interne l’a considéré comme un ordinateur ami, répondant à ses requêtes de données. Ce qui a valu à la banque d’écoper d’une amende de 80 millions de dollars par le département du Trésor pour avoir échoué à protéger les données de ses utilisateurs.
Paige Thompson ne semble pas avoir utilisé les informations récupérées pour usurper l’identité des clients. Mais les procureurs fédéraux ont fait observer qu’elle avait installé un logiciel de minage de crypto-monnaie sur les serveurs des entreprises dans l’intention de gagner de l’argent. Le crime aurait été presque parfait si elle ne s’était pas vanté de son méfait sur les réseaux sociaux et des plate-formes de GitHub sous le pseudonyme “Erratic”. C’est de cette façon que Capital One avait été informé du piratage et que le FBI s’était lancé sur sa piste.
Paige Thompson reste libre sous caution en attendant sa condamnation le 15 septembre prochain.
Source :
The New-York Times