Richiedere una carta di credito può esporre dati personali al rischio di hackeraggi. Capital One, una banca statunitense con quartiere generale in Virginia, ha subito una violazione informatica che ha coinvolto i dati di oltre cento milioni di cittadini statunitensi e sei milioni di canadesi, utenti da cui erano partite richieste di emissione di carta di credito. Ciascuna conteneva nomi, indirizzi, contatti telefonici e numeri previdenza sociale (un dato che negli Usa ha il valore del codice fiscale), che sono finiti sotto gli occhi degli hacker o dell’hacker. Non si sa molto di più, infatti, se non che un singolo individuo è già finito tra le grinfie dell’Fbi in seguito a un’indagine partita, giorni fa, proprio dalla segnalazione di Capital One.

La banca, accortasi dell’attacco, aveva dato notifica al Federal Bureau of Investigation. A detta di Reuters l’arrestato è in realtà una lei, tale Paige Thompson, ingegnere informatico trentatreenne ed ex dipendente di una software house di Seattle. Arrestata in seguito a una perquisizione dell’Fbi ma casa usa, Thompson è già stata sentita dal giudice distrettuale della città nella giornata di lunedì e dovrà per ora rimanere in custodia.

Ma che cosa è successo esattamente, e come è possibile - la domanda davvero sorge spontanea - che i sistemi informatici di una banca siano vulnerabili di fronte all’azione di una singola hacker, esponendo i dati di una marea fatta da oltre cento milioni di utenti? Dai lanci di agenzia si apprende che Capital One ha notato l’esistenza di una “vulnerabilità” nei propri “sistemi” in data 19 luglio, rivolgendosi immediatamente alle forze dell’ordine per segnalare il fatto e chiedere rinforzi. Ma già un mese prima, dietro allo pseudonimo del proprio account di Twitter, l’hacker aveva inviato dei messaggi privati all’account di Capital One, minacciando la pubblicazione di nomi, date di nascita, numeri di previdenza sociale di clienti della banca.

Bloomberg suggerisce che la donna lavorasse per Amazon, nella divisione Aws, e che nell’ambito delle proprie mansioni sia venuta a conoscenza di una vulnerabilità (una configurazione di un firewall) dalla quale si poteva arrivare al contenuto di un server. In effetti l’ingegnere aveva lavorato per Aws ne 2016, ma non c’è nessuna conferma sul fatto che la vulnerabilità richiedesse una conoscenza da “insider” per poter essere sfruttata.

Ora la banca colpita afferma di ritenere improbabile che i dati in questione siano stati usati per compiere delle truffe. Fatto sta che il bottino dell’hacker ha fatto in tempo a finire su GitHub e, da qui, chissà a quali altre destinazioni: la pubblicazione risale al 21 di aprile. Sulla piattaforma è finito un archivio contenente 700 cartelle piene di dati. “Considerando le tempistiche di accesso, le informazioni rubate hanno probabilmente già raggiunto il DarkWeb”, osserva Corrado Broli, country manager italiano della società di sicurezza Darktrace

Tornando alla domanda (irrisolta) su come sia stato possibile, in fondo ormai dovremmo smettere di stupirci di fronte alla notizia di grandi aziende multinazionali e miliardarie, che dovrebbero garantire la massima protezione ai dati (e ai soldi) dei loro utenti e che invece vengono hackerate. Osservatori come Broli fanno notare che “Stiamo assistendo alla convergenza delle vulnerabilità del cloud con i rischi costanti delle minacce interne, solo che in questo caso si trattava di un insider secondario, in quanto l’origine della minaccia proveniva da un fornitore”. Il caso più eclatante resta quello di Equifax, la grande agenzia di controllo dei crediti statunitensi, attaccata nel 2017 e ora costretta a pagare 700 milioni di dollari multa

Aggiornamento:
 
Amazon ha voluto precisare, con una nota ufficiale, che "Aws non è stata in alcun modo compromessa e ha funzionato come da programma. L'autore del reato ha ottenuto l'accesso attraverso un'errata configurazione dell'applicazione web e non dell'infrastruttura sottostante basata sul cloud. Come ha spiegato chiaramente Capital One nella sua comunicazione, questo tipo di vulnerabilità non è specifica del cloud".