Mamy kolejny ogromny wyciek z branży finansowej – dotkniętych przeszło 100 000 000 osób.

Chodzi o amerykańską instytucję Capital One, hacker (czy może raczej hackerka – podejrzaną jest kobieta). Co się stało? Od strony technicznej obecne opisy są dość enigmatyczne:

(…) she allegedly exploited a misconfigured firewall to access a Capital One cloud repository and exfiltrate data sometime in March.

Dziura w firewallu i dostęp do zasobów chmurowych? A może po prostu bezczelnie dostępny amazonowy zasób S3 z dostępnymi plikami bez żadnego uwierzytelnienia?

Jak wykryto wyciek? W wyniku anonimowego 'hintu’:

an unidentified tipster informed Capital One of its existence by emailing the bank’s responsible disclosure address with a brief warning about the data, and a link to it on GitHub.

W każdym razie źródła mówią o wycieku dotykającym przeszło 100 milionów osób (wnioski o kredyty [lub karty kredytowe], adresy, telefony, informacje o zdolności kredytowej, część informacji o zrealizowanych transakcjach).

Capital One ma wysokie miejsce w Top 10 amerykańskich banków – jego aktywa wynoszą przeszło 1 bilion złotych (to nie pomyłka – bilion, nie miliard). Niedawno donosiliśmy o analogicznym włamaniu, tym razem Equifax po wycieku danych około 150 milionów klientów otrzymał  karę wynoszącą nawet okolice 2 miliardów PLN.

–ms