A violação maciça de dados na Capital One parecia ser um ataque pouco sofisticado de um único hacker, levantando questões sobre a segurança do sistema financeiro e ameaças internas à computação em nuvem.

O motivo por trás da violação e a extensão de seu impacto permaneceram obscuros na terça-feira, um dia depois que os agentes do FBI prenderam a ex-engenheira da web Paige Thompson, de 33 anos, e a acusaram de roubar dados de mais de 100 milhões de aplicações de cartão de crédito do décimo maior banco dos Estados Unidos.

"A maior surpresa é a natureza amadora do ataque, "disse John Dickson, da consultoria de segurança Denim Group.

Dickson disse que foi "absolutamente surpreendente" que um atacante individual pudesse obter acesso a tantos dados em uma das maiores instituições financeiras dos Estados Unidos.

"Isso pode ter um grande impacto sobre a confiança no sistema bancário."

O hack do Capital One parece ser diferente das principais violações na empresa de monitoramento de crédito Equifax, o gigante da internet Yahoo e outros incidentes importantes que foram atribuídos a entidades sofisticadas de estado-nação.

Autoridades dos EUA disseram Thompson, um ex-funcionário da Amazon Web Services, foi presa com base em uma denúncia após se gabar de acessar os dados no site de compartilhamento de software GitHub, bem como no Twitter e no Slack.

Darren Hayes, professor de ciência da computação da Pace University, especializado em segurança cibernética, disse que a capacidade de prender e processar rapidamente um invasor nesse tipo de caso é incomum.

"A maioria desses casos é perpetrada por hackers em outros países, " ele disse.

'Pessoas boas se tornaram más'

Hayes disse que o incidente destaca o risco de ataques "internos" quando funcionários de confiança recorrem ao roubo.

"É um desafio pegar pessoas boas que se tornaram más, por isso, muitos bancos procuram isso agora "com ferramentas de inteligência artificial para detectar anomalias no comportamento dos funcionários, Hayes disse.

A Capital One disse que o incidente afetou cerca de 100 milhões de clientes nos Estados Unidos e seis milhões no Canadá, com até 140, 000 números de segurança social nos EUA e um milhão no Canadá comprometidos.

Apenas alguns dos dados foram criptografados, mas a Capital One disse não ter nenhuma indicação de que qualquer um dos dados foi transferido ou vendido onde poderia ser prejudicial para os clientes.

Ainda, Hayes disse que vê um risco de perda de dados que pode acabar comprometendo os clientes do banco.

"Minha impressão é que veremos muitos processos de ação coletiva e a empresa pode ser responsabilizada por muitos danos, " ele disse.

A notícia da violação da Capital One veio depois que a agência americana de monitoramento de crédito Equifax concordou na semana passada em pagar até US $ 700 milhões para resolver um incidente semelhante que atingiu a empresa em 2017, afetando quase 150 milhões de clientes.

A procuradora-geral do Estado de Nova York, Letitia James, disse que seu escritório está abrindo sua própria investigação.

"Meu escritório começará uma investigação imediata sobre a violação da Capital One, e trabalhará para garantir que os nova-iorquinos que foram vítimas dessa violação recebam alívio, "Disse James.

'Alvo mais fácil'

Dylan Gilbert, do grupo de consumidores Public Knowledge, disse que a notícia levanta questões sobre os procedimentos de segurança do grande banco.

"Por que o Capital One não criptografou totalmente esses dados, e por que a empresa não colocou esse vasto tesouro de informações pessoais atrás de um firewall configurado adequadamente? ", disse Gilbert.

"A segurança é um desafio e erros acontecem, mas infelizmente para os consumidores, as empresas não têm incentivos para adotar as melhores práticas de segurança cibernética quando a punição chega na forma de penalidades financeiras que podem ser contabilizadas como um mero custo de fazer negócios. "

Joseph Hall, tecnólogo-chefe do Center for Democracy &Technology, disse que o incidente destaca o risco de depender demais da computação em nuvem, que armazena grandes quantidades de dados em servidores.

"O fato de haver muito mais dados na nuvem torna-o um alvo mais fácil, "Hall disse.

"Se os serviços em nuvem estiverem configurados incorretamente, é relativamente fácil para alguém que está passando tirar vantagem disso."

O currículo online de Thompson indica que ela deixou a Amazon em 2016, e não havia indicação de que a própria nuvem AWS fosse a culpada pela violação.

"A AWS não foi comprometida de forma alguma e funcionou conforme projetado, "Amazon disse em um comunicado.

"O perpetrador obteve acesso por meio de uma configuração incorreta do aplicativo da web e não da infraestrutura baseada em nuvem subjacente. Como Capital One explicou claramente em sua divulgação, este tipo de vulnerabilidade não é específico da nuvem. "

© 2019 AFP