Violacion de datos de Capital One afecta a 106 millones de personas

vulnerabilidad

Capital One ha anunciado una violación de datos que ha expuesto la información personal de 106 millones de personas que incluye datos de transacciones, puntajes de crédito, historial de pagos, saldos y, para algunos, cuentas bancarias vinculadas y números de seguridad social

La violación de datos se descubrió cuando un pirata informático ético reveló responsablemente la vulnerabilidad a Capital One el 17 de julio de 2019. Después de realizar una investigación interna sobre si esta vulnerabilidad se había utilizado en el pasado, Capital One descubrió que un usuario no autorizado tenía acceso a sus sistemas y a sus clientes. datos entre el 22 y el 23 de marzo de 2019

"El 19 de julio de 2019, determinamos que había un acceso no autorizado por parte de una persona externa que obtuvo ciertos tipos de información personal relacionada con personas que habían solicitado productos de tarjetas de crédito y clientes de tarjetas de crédito Capital One", declaró Capital One en un incidente de seguridad de datos previo aviso . "Esto ocurrió el 22 y 23 de marzo de 2019".

Su investigación descubrió que el usuario no autorizado podía acceder a la información de 100 millones de personas en los Estados Unidos y 6 millones de personas en Canadá. Después de corregir la vulnerabilidad utilizada en la violación, proporcionaron información al FBI que arrestó al presunto hacker.

Si bien no se accedió a números de cuenta de tarjeta de crédito o credenciales de inicio de sesión, se accedió a una amplia gama de otra información.

"La mayor categoría de información a la que se accedió fue información sobre consumidores y pequeñas empresas desde el momento en que solicitaron uno de nuestros productos de tarjetas de crédito desde 2005 hasta principios de 2019. Esta información incluía información personal que Capital One recopila habitualmente en el momento en que recibe las solicitudes de tarjetas de crédito , incluidos los nombres, las direcciones, los códigos postales / códigos postales, los números de teléfono, las direcciones de correo electrónico, las fechas de nacimiento y los ingresos autoinformados. Además de los datos de la solicitud de la tarjeta de crédito, el individuo también obtuvo partes de los datos del cliente de la tarjeta de crédito, que incluyen:

  • Datos del estado del cliente, por ejemplo, puntajes de crédito, límites de crédito, saldos, historial de pagos, información de contacto
  • Fragmentos de datos de transacciones de un total de 23 días durante 2016, 2017 y 2018

No se comprometieron números de cuentas bancarias o números de Seguridad Social, aparte de:

  • Cerca de 140,000 números de Seguro Social de nuestros clientes de tarjetas de crédito
  • Alrededor de 80,000 números de cuentas bancarias vinculadas de nuestros clientes de tarjetas de crédito aseguradas

Para nuestros clientes de tarjetas de crédito canadienses, aproximadamente 1 millón de números de seguro social se vieron comprometidos en este incidente ".

Capital One notificará a cada usuario afectado por correo electrónico y proporcionará un servicio gratuito de monitoreo de crédito.

Debido a la cantidad de información personal que se expuso y cómo se puede utilizar para el robo de identidad, se recomienda encarecidamente a los usuarios que supervisen sus informes de crédito en busca de actividades sospechosas y denuncien inmediatamente cualquier cosa detectada tanto a la policía como a Capital One y a las agencias de crédito.

También se recomienda encarecidamente que congele su informe de crédito si se vio afectado para que sea más difícil para los malos actores sacar crédito de manera fraudulenta en su nombre.

Sospechoso arrestado por el FBI

Una persona de Seattle llamada Paige Thompson fue arrestada por el FBI en relación con el pirateo de los sistemas de Capital One.

Un comunicado de prensa del Departamento de Justicia afirma que un investigador de seguridad comenzó a sospechar después de que Thompson supuestamente publicó un comentario en GitHub sobre su acceso a los datos de Capital One y lo informó a Capital One.

"Según la denuncia penal, THOMPSON publicó en el sitio de intercambio de información GitHub sobre su robo de información de los servidores que almacenan datos de Capital One", indicó el anuncio del Departamento de Justicia . "La intrusión se produjo a través de un firewall de aplicación web mal configurado que permitió el acceso a los datos. El 17 de julio de 2019, un usuario de GitHub que vio la publicación alertó a Capital One de la posibilidad de que hubiera sufrido un robo de datos. Después de determinar el 19 de julio de 2019 , que hubo una intrusión en sus datos, Capital One contactó al FBI. Los investigadores cibernéticos pudieron identificar a THOMPSON como la persona que estaba publicando sobre el robo de datos. Esta mañana los agentes ejecutaron una orden de allanamiento en la residencia de THOMPSON y confiscaron dispositivos de almacenamiento electrónico que contiene una copia de los datos ".

Según el New York Times , Thompson fue el organizador de un grupo Meetup llamado Seattle Warez Kiddies que fue para cualquiera "con un aprecio por los sistemas distribuidos, la programación, la piratería, el craqueo, la creación de scripts, la electrónica, Linux, etc."

Los investigadores declararon que ella utilizó el alias en línea "errático" y que la policía pudo verificar su identidad después de publicar una imagen de una factura veterinaria.

Capital One tranquiliza a los inversores: Después de ver lo que han hecho los grandes anuncios de violación de datos a los precios de las acciones de otras compañías, Capital One está utilizando el aviso de incidente de seguridad para calmar los temores de sus inversores.

Según Capital One, se espera que este incidente genere costos de aproximadamente $ 100 a $ 150 millones en 2019 debido a notificaciones de clientes, servicios gratuitos de monitoreo de crédito, costos de mejora de seguridad y honorarios legales.

"Esperamos que el incidente genere costos incrementales de aproximadamente $ 100 a $ 150 millones en 2019. Los costos esperados se deben en gran medida a las notificaciones de los clientes, el monitoreo de crédito, los costos de tecnología y el soporte legal. Esperamos acumular los costos de notificación al cliente y monitoreo de crédito en 2019. Los costos incrementales esperados relacionados con el incidente se informarán por separado como un elemento de ajuste en relación con los resultados financieros de la Compañía ".

Incluso con estos mayores costos, Capital One afirma que tienen un seguro de seguridad cibernética que cubrirá hasta $ 400 millones con un deducible de $ 10 millones.

Dicho esto, están tratando de tranquilizar a los inversores de que esta violación no tendrá mucho efecto en sus resultados y están "afirmando su orientación de eficiencia existente, que en todos los casos es neta de ajustes".

Fecha actualización el 2021-07-30. Fecha publicación el 2019-07-30. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer Version movil