Tháng 7/2019, ngân hàng Capital One tại Mỹ thông báo phát hiện vụ xâm nhập dữ liệu làm lộ lọt tên tuổi, địa chỉ, số điện thoại, email, thông tin thu nhập của khoảng 100 triệu khách hàng tại Mỹ và hơn 6 triệu khách hàng ở Canada.
Nguyên nhân là do hacker khai thác lỗ hổng trong cấu hình máy chủ lưu trữ đám mây. Ngân hàng này sau đó đã phải nộp phạt 80 triệu USD do không đảm bảo an toàn dữ liệu khách hàng và chi 190 triệu USD bồi thường thiệt hại cho các nạn nhân.
Paige Thompson, một kỹ sư dịch vụ đám mây Amazon (AWS) bị bắt ngay sau đó với cáo buộc xâm nhập hệ thống đám mây của khách hàng và ăn cắp dữ liệu. Toà án quận Seattle kết án Thompson 7 tội danh gian lận máy tính, với án phạt có thể lên tới 20 năm tù giam.
Bộ Tư pháp Mỹ cho biết, cựu nhân viên của Amazon đã phát triển một công cụ quét rà soát những tài khoản AWS bị cấu hình sai và lợi dụng các tài khoản này để xâm nhập vào hệ thống dữ liệu thuộc Capital One cũng như hàng chục khách hàng đang sử dụng dịch vụ lưu trữ đám mây khác.
Không chỉ vậy, nữ kỹ sư này còn chiếm quyền điều khiển máy chủ của các công ty, cài đặt phần mềm khai thác tiền mã hoá và liên kết với ví điện tử cá nhân để thu lời. Sau đó, hacker với nickname “Erratic” tung dữ liệu nhạy cảm của khách hàng lên các website công khai, đồng thời “khoe khoang” chi tiết vụ xâm nhập trên mạng xã hội Twitter và Slack.
Đầu năm nay, Bộ Tư pháp Mỹ cho biết họ sẽ không tiến hành truy tố các chuyên gia bảo mật theo Đạo luật Lạm dụng và Gian lận máy tính. Tuy nhiên, Thompson không thuộc vào phạm vi được miễn trừ trong trường hợp này.
“Khác xa với việc là một hacker có ‘đạo đức’ nhằm phát hiện lỗ hổng giúp các công ty bảo mật, Thompson đã lợi dụng chúng để đánh cắp dữ liệu có giá trị và thu lợi bất chính”, công tố viên Nick Brown cho hay.
Vinh Ngô (Theo TheVerge)
.svg){kind=icon}
