Amazon e Capital One affrontano azioni legali dopo che un massiccio hack ha colpito 106 milioni di clienti

Un gruppo di clienti arrabbiati ha intentato una causa contro Capital One questa settimana a seguito dell'hacking che ha colpito oltre 106 milioni di persone.
E non si fermano lì; il gruppo ha anche nominato Amazon Web Services, il provider cloud di Capital One, sostenendo che anche il colosso della tecnologia sia colpevole della violazione.
L'hacking ha portato a molteplici cause legali e è diventato un altro punto critico nel dibattito sulla privacy e la sicurezza.
Sulla scia di questo attacco, sono sorti dubbi sul fatto che anche i fornitori di tecnologia che alimentano società come Capital One debbano essere ritenuti responsabili.
Una causa simile, presentata la scorsa settimana in California, ha portato GitHub nella mischia, sostenendo che il repository di codici non è riuscito a monitorare e rispondere ai dati compromessi sul suo sito Web.
La nuova causa, intentata questa settimana presso il tribunale federale di Seattle, è unica perché include Amazon come imputato.
Sostiene che Amazon era a conoscenza di una vulnerabilità presumibilmente sfruttata dall'hacker, l'ingegnere con sede a Seattle Paige Thompson, per sradicare l'attacco e "non ha fatto nulla per risolverlo".
Il presunto aggressore, un ex impiegato di AWS, è entrato in un'applicazione Web non configurata correttamente firewall.
"Il comando a riga singola che espone le credenziali AWS su qualsiasi sistema EC2 è noto ad AWS ed è infatti incluso nella loro documentazione online", secondo il reclamo.
"È anche ben noto tra gli hacker".
Abbiamo contattato Amazon e Capital One e aggiorneremo questo post se sentiamo di nuovo.
La causa sostiene che le società non hanno rivelato la violazione quando ne sono venute a conoscenza.
L'hacking ha avuto luogo il 22 e 23 marzo, secondo Capital One.
Ma la società non è stata informata fino al 17 luglio dopo che un utente GitHub, indicato come un ricercatore etico per la sicurezza, ha segnalato un post sul sito del codice di Thompson che parlava del furto.
Due giorni dopo, il 19 luglio, l'FBI fu informato.
Correlati: il senatore Wyden vuole risposte da Amazon su Capital Un hack La proposta azione legale di classe, che include querelanti di otto stati e una non profit nel Kentucky, afferma che le due società erano negligenti e hanno violato il Consumer Protection Act dello Stato di Washington e la Data Discch Disclosure Law.
Mark Bartholomew, professore di cyber law presso la University of Buffalo's School of Law, ha dichiarato a Yahoo Finance che la rapida risposta di Capital One, insieme ai rapporti secondo cui Thompson non ha fatto nulla di dannoso con le informazioni ottenute nell'hack, potrebbe danneggiare le varie cause legali contro le compagnie.
Bartholomew ha anche affermato che i fornitori di infrastrutture come Amazon in genere non si assumono responsabilità in casi come questo, aggiungendo che Amazon e Capital One probabilmente avevano un accordo che assegnava responsabilità alla banca in caso di violazione.
All'inizio di questa settimana il senatore americano Ron Wyden dell'Oregon ha inviato una lettera al CEO di Amazon Jeff Bezos sulla natura dell'hacking e sulla vulnerabilità dei servizi cloud dell'azienda.
Sebbene una corretta configurazione spetti ai clienti cloud, Wyden vuole scoprire se si tratta di una vulnerabilità che lascia regolarmente esposti i clienti dei servizi Web Amazon.
"Quando una grande azienda perde dati su cento milioni di americani a causa di un errore di configurazione, l'attenzione si concentra naturalmente sulle pratiche di sicurezza informatica di quella società", afferma la lettera di Wyden.
"Tuttavia, se diverse organizzazioni commettono errori di configurazione simili, è tempo di chiedere se la tecnologia di base deve essere resa più sicura e se la società che la rende responsabile delle violazioni".
Capital One ha affermato in precedenza che "questo tipo di la vulnerabilità non è specifica per il cloud.
Gli elementi dell'infrastruttura coinvolti sono comuni sia al cloud che agli ambienti di data center locali.
”Thompson è accusato di hackerare i database di Capital One e di ottenere l'accesso a circa 140.000 numeri di previdenza sociale e 80.000 numeri di conti bancari.
Thompson è stato arrestato il mese scorso per l'hacking, che è stata una delle maggiori violazioni di un importante servizio finanziario, colpendo 100 milioni di persone negli Stati Uniti e 6 milioni di persone in Canada.
La maggior parte delle informazioni compromesse proveniva dai dati della domanda di carta di credito inviati tra il 2005 e il 2019 che includevano nomi, indirizzi, codici postali / codici postali, numeri di telefono, indirizzi e-mail, date di nascita e entrate autosufficienti.
Sono state inoltre ottenute informazioni sul punteggio di credito, cronologia dei pagamenti, dati sulle transazioni, informazioni di contatto e altro.
Capital One ha dichiarato al momento della divulgazione che "è improbabile che le informazioni siano state utilizzate per frode o diffuse da questa persona".
Nessun numero di conto della carta di credito o credenziali di accesso sono stati compromessi.
L'incidente costerà alla società da $ 100 a $ 150 milioni quest'anno per coprire le notifiche dei clienti, il monitoraggio del credito, i costi tecnologici e l'assistenza legale.
Il Wall Street Journal ha osservato che Thompson è entrato nel servizio di metadati di Amazon, che detiene importanti credenziali.
Thompson ha quindi cercato i computer vulnerabili per ottenere l'accesso alle reti interne di un'azienda – bussando alle "porte d'ingresso per cacciare quelle che erano state sbloccate", per WSJ – e si è imbattuto nella configurazione errata di Capital One.
La causa cita un articolo di Forbes che esamina se Thompson abbia sfruttato la vulnerabilità di AWS per hackerare altre organizzazioni, tra cui la Michigan State University, il Dipartimento dei trasporti dell'Ohio, la banca italiana UniCredit SpA e Ford.
Ecco il completo: Class Action v.
Capital One e Amazon di Nat Levy su Scribd