Бывший инженер Amazon Web Services (AWS) был признан виновным во взломе облачных систем хранения данных клиентов и краже данных, связанных с массовым нарушением Capital One в 2019 году. Окружной суд США в Сиэтле в пятницу признал Пейдж Томпсон виновной по семи пунктам обвинения в компьютерном и проводном мошенничестве — преступлении, наказуемом тюремным заключением на срок до 20 лет.
Томпсон, который также известен в Интернете под псевдонимом “Erratic”, был арестован за взлом Capital One в июле 2019 года. Утечка была одной из крупнейших за всю историю, в результате которой были раскрыты имена, даты рождения, номера социального страхования, адреса электронной почты и номера телефонов более 100 миллионов человек в США и Канаде. С тех пор Capital One была оштрафована на 80 миллионов долларов за якобы неспособность защитить данные пользователей и рассчиталась с пострадавшими клиентами на сумму 190 миллионов долларов.
В пресс-релизе Министерства юстиции (DOJ) говорится, что Томпсон разработал инструмент, который сканировал AWS на наличие неправильно настроенных учетных записей, а затем использовал эти учетные записи для получения доступа к системам Capital One и десятков других клиентов AWS. Прокуроры также утверждают, что Томпсон “захватила” серверы компаний, чтобы установить программное обеспечение для майнинга криптовалют, которое переводило бы любые доходы на ее личный криптокошелек. Затем она “хвасталась” своими проступками на онлайн-форумах и в текстовых сообщениях.
“Она использовала ошибки, чтобы украсть ценные данные, и стремилась обогатиться”
В то время были некоторые споры о том, была ли Томпсон этичным хакером или исследователем безопасности из—за ее необычной откровенности о своей роли в онлайн-атаке Capital One — она разместила конфиденциальные данные клиентов на общедоступной странице GitHub и поделилась подробностями взлома в Twitter и Slack. Ранее в этом году Министерство юстиции дало понять, что не будет преследовать исследователей в области безопасности в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях. Но американские прокуроры, очевидно, не были убеждены, что действия Томпсона подпадают под это исключение.
“Она была далека от того, чтобы быть этичным хакером, пытающимся помочь компаниям с их компьютерной безопасностью, она использовала ошибки для кражи ценных данных и стремилась обогатиться”, — говорится в заявлении прокурора США Ника Брауна. Слушание по вынесению приговора Томпсону состоится 15 сентября 2022 года.
