Eski bir Amazon Web Services (AWS) mühendisi, müşterilerin bulut depolama sistemlerini hacklemekten ve devasa 2019 Capital One ihlaliyle bağlantılı verileri çalmaktan suçlu bulundu. Seattle’daki bir ABD Bölge Mahkemesi, Paige Thompson’ı Cuma günü yedi adet bilgisayar ve elektronik dolandırıcılık suçundan 20 yıla kadar hapisle cezalandırılabilecek bir suçtan mahkum etti.
Çevrimiçi olarak “Düzensiz” adını da kullanan Thompson, Temmuz 2019’da Capital One hack’ini gerçekleştirmekten tutuklandı. ABD ve Kanada’da 100 milyondan fazla kişinin adlarını, doğum tarihlerini, sosyal güvenlik numaralarını, e-posta adreslerini ve telefon numaralarını açığa çıkaran ihlal, şimdiye kadar kaydedilen en büyük ihlallerden biriydi. Capital One, kullanıcıların verilerini güvence altına almadığı iddiasıyla 80 milyon dolar para cezasına çarptırıldı ve etkilenen müşterilerle 190 milyon dolar ödedi.
A Adalet Bakanlığı’ndan basın açıklaması (DOJ), Thompson’ın AWS’yi yanlış yapılandırılmış hesaplar için tarayan ve ardından Capital One ve düzinelerce başka AWS müşterisinin sistemlerine erişim sağlamak için bu hesaplardan yararlanan bir araç geliştirdiğini belirtiyor. Savcılar ayrıca Thompson’ın şirketlerin sunucularını, kazançlarını kişisel kripto cüzdanına aktaracak kripto para madenciliği yazılımı yüklemek için “kaçırdığını” söylüyor. Daha sonra çevrimiçi forumlarda ve kısa mesajlarda yaptığı yanlışlarla “övündü”.
O zamanlar, Thompson’ın çevrimiçi olarak Capital One saldırısındaki rolüyle ilgili olağandışı samimiyeti nedeniyle etik bir bilgisayar korsanı mı yoksa güvenlik araştırmacısı mı olduğu konusunda bazı tartışmalar vardı – müşterilerin hassas verilerini halka açık bir GitHub sayfasında yayınladı ve ayrıntılarını paylaştı. Twitter ve Slack’teki ihlal. Bu yılın başlarında Adalet Bakanlığı, Güvenlik araştırmacılarını Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası uyarınca kovuşturmayacağını açıkça belirtti. Ancak ABD savcıları açıkça Thompson’ın eylemlerinin bu istisna kapsamında olduğuna ikna olmadılar.
ABD’li avukat Nick Brown yaptığı açıklamada, “Şirketlere bilgisayar güvenliği konusunda yardım etmeye çalışan etik bir hacker olmaktan çok, değerli verileri çalmak için hatalardan yararlandı ve kendini zenginleştirmeye çalıştı” dedi. Thompson’ın ceza duruşması 15 Eylül 2022’de gerçekleşecek.