Kötü şöhretli 2019 Capital One veri ihlalinin arkasındaki 36 yaşındaki Seattle teknoloji çalışanı, 20 yıla kadar hapisle cezalandırılabilen veri hırsızlığıyla ilgili yedi suçlamadan suçlu bulundu.
Olayda, bilgisayar korsanının “düzensiz” yönetimi altında çalışan Paige Thompson, bulutta yanlış yapılandırılmış bir Amazon Web Hizmetleri depolama kovasında tutulan 100 milyondan fazla kredi başvurusuyla kaçtı. Bankacılık devi kötü niyetli faaliyeti kendisine kadar takip edip FBI’ı uyardıktan kısa bir süre sonra tutuklandı.
ABD’li Avukat Nick Brown, “Bayan Thompson, bilgisayar korsanlığı becerilerini 100 milyondan fazla kişinin kişisel bilgilerini çalmak için kullandı ve bilgisayar sunucularını kripto para madenciliği yapmak için ele geçirdi” dedi. Bir açıklamada. “Şirketlere bilgisayar güvenliği konusunda yardım etmeye çalışan etik bir hacker olmaktan çok uzak, değerli verileri çalmak için hatalardan yararlandı ve kendini zenginleştirmeye çalıştı.”
Savcılar, Thompson’ın, erişim için kimlik doğrulaması gerekmeden veritabanlarının İnternet’e açık bırakıldığı AWS yanlış yapılandırmalarını aramak için özel olarak bir tarayıcı kullandığını kaydetti. Toplamda, Capital One dahil olmak üzere 30 kuruluşun veritabanlarına sızmayı başardı – veri çalma ve bazı durumlarda kripto para madenciliği yerleştirme.
Adalet Bakanlığı’nın açıklamasına göre, Thompson “planını ilerletmek için yüzlerce saat harcadı ve metin veya çevrimiçi forumlar aracılığıyla başkalarına yasadışı davranışlarıyla övündü.”
Yedi günlük bir deneme ve 10 saatlik müzakereden sonra, Seattle’daki ABD Bölge Mahkemesindeki bir jüri, Thompson’ı elektronik dolandırıcılıktan, korumalı bir bilgisayara beş kez yetkisiz erişimden ve korumalı bir bilgisayara zarar vermekten suçlu buldu. Jüri, onu erişim cihazı dolandırıcılığından ve ağırlaştırılmış kimlik hırsızlığından suçlu bulmadı.
Thompson’ın 15 Eylül’de ABD Bölge Yargıcı Robert S. Lasnik tarafından cezalandırılması planlanıyor.
ABD Başsavcı Yardımcısı Andrew Friedman kapanış tartışmalarında “Veri istedi, para istedi ve övünmek istedi” dedi.
Capital One bir basın açıklamasında, “Davanın sonucundan memnunuz ve Seattle’daki ABD Avukatlık Bürosu ve FBI’ın Seattle Saha Ofisinin bu önemli davayı kovuşturma konusundaki yorulmak bilmeyen çalışmasına müteşekkiriz.” Dedi.
Bulut Yanlış Yapılandırmaları Yaygın Kalıyor
Thompson kötü niyetli faaliyetlere eğilimliyken, olay aynı zamanda bulut güvenliği sorumluluğunu ve yanlış yapılandırma sorununu da ön plana çıkardı. Capital One’ın hassas finansal verileri kamuya açık bıraktığı için ihmalkar davrandığı ve 80 milyon dolar para cezasına çarptırıldığı tespit edildi. Ayrıca 190 milyon dolarlık anlaşmalı müşteri davaları — ucuz bir sonuç değil.
Netenrich’in başlıca tehdit avcısı John Bambinek, “Capital One ihlali, bulut güvenliğini gerçekten birçok işletmenin ön saflarına yerleştirdi” diyor. “Bundan önce, bulut şirketlerinin güvenliği üstleneceği ve varsayılan ayarların ‘yeterince güvenli’ olduğu konusunda bir yanlış kanı vardı. Gerçek şu ki, paylaşılan güvenlik modeli, kullanıcıların bulut ortamlarının güvenli olduğundan ve verilerin yanlışlıkla sızdırılmadığından emin olmalarını gerektiriyor.”
Güvenlik firması Rapid7, bulut yanlış yapılandırmaları hakkındaki son raporunda, bulutun yanlış yapılandırmalarından kaynaklanan ihlallerin “üzücü sıklıkta” gerçekleşmeye devam ettiğini belirtti.
Araştırmacılar raporda, “Her şeyden önce, bulut hizmeti yanlış yapılandırmalarını günlük olarak aktif olarak arayan kişilerin olduğunun farkında olmalısınız.” “Doğru araçlar göz önüne alındığında, orta düzeyde akıllı herhangi bir kişinin buluttaki bu çatlakları geniş ölçekte araması neredeyse önemsizdir ve hassas verilerin açığa çıkmasına neden olan bu istenmeyen yanlış yapılandırmayla karşılaşmak için özel olarak kuruluşunuzu hedeflemelerine bile gerek yoktur. senin bakımında.”
Örnek olarak, bu ayın başlarında Secureworks Counter Threat Unit (CTU) araştırmacıları, siber saldırganların gasp amacıyla yanlış yapılandırılmış Elasticsearch bulut paketlerini hedeflediğini buldu. Saldırganlar, halka açık İnternet’te açığa çıkan verileri bulduktan sonra, açık verileri çalar ve bir fidye notu ile değiştirir. O zaman, yaklaşık 1.200 örnek etkilenmişti.
Bu nedenle, araştırmacılar, güvenli ve esnek yapılandırmalar için planlama ve hataları ve gözetimleri izlemek için otomatikleştirilmiş süreçler de dahil olmak üzere, kaynakları bulut güvenliğine tahsis etmelidirler.
Bambinek, işlerin daha iyiye gittiğine dair kanıtlar olduğunu söylüyor.
Dark Reading’e, “Birkaç yıl sürdü, ancak yalnızca varsayılan güvenli ayarlara sahip olmakla kalmayıp, güvenlik araçlarının bulut ortamlarındaki yanlış yapılandırmaları ve kötü niyetli davranışları algılamaya başlaması konusunda da gerçek adımlar atıyoruz” diyor.