Capital One is getroffen door een van de grootste datahacks ooit. Persoonlijke data en betaalgegevens van 100 miljoen Amerikaanse en 6 miljoen Canadese klanten werden buitgemaakt. Een 33-jarige vrouw is in Seattle aangehouden voor de hack op de zevende grootste commerciële bank van de VS, nadat ze op Twitter zou hebben gedreigd persoonlijke gegevens openbaar te maken.
Terwijl er weinig elementaire gegevens zijn gestolen, wist de hacker zich wel toegang te verschaffen tot creditcardaanvragen van 2005 tot 2019, die veel gevoelige informatie bevatten. Bovendien is van minimaal 140.000 Amerikanen – en misschien zelfs van 1 miljoen Canadezen – het belangrijke ‘social security number’ bemachtigd. Bovendien zijn de bankrekeningen van 80.000 mensen gecompromitteerd.
Onder de gestolen gegevens bevindt zich informatie als namen, adressen, telefoonnummers, kredietscores en kredietlimieten. Capital One benadrukt dat er geen creditcardnummers, pincodes en inlogdata zijn buitgemaakt, en geeft aan het onwaarschijnlijk te achten dat de gegevens zijn gebruikt om fraude te plegen. Het is echter niet bekend of er ook geld is ontvreemd. De bank laat verder weten dat de hack al plaatsvond op 22 en 23 maart van dit jaar, maar pas onlangs werd ontdekt.
De buitgemaakte gegevens stonden op een cloudserver van Amazon Web Services, waar de opgepakte verdachte Paige Thompson eerder werkte. Thompson – die door Capital One wordt omschreven als een “zeer kundig individu” – zou een veiligheidslek in de webapplicatie hebben uitgebuit.
Erratic
Terwijl ze wellicht kundig opereerde bij de gigantische dataroof, toonde ze zich daarna van een minder geraffineerde kant: de FBI kwam haar op het spoor doordat ze op verschillende social media opschepte over haar ‘prestatie’, zo is te lezen in juridische documenten. Ironisch genoeg deed ze dit onder de schuilnaam ‘erratic’, wat zoiets betekent als verdacht of grillig. Via Twitter zou ze onder dit pseudoniem Capital One hebben gedreigd de persoonlijke gegevens van klanten naar buiten te brengen.
Komende donderdag wordt Thompson voorgeleid. Als ze schuldig wordt bevonden kan ze voor vijf jaar achter de tralies belanden en een boete van $250.000 opgelegd krijgen.
Ondertussen gaat Capital One natuurlijk diep door het stof. “Terwijl ik dankbaar ben dat de dader is gepakt, spijt het mij enorm wat er is gebeurd”, stelt CEO Richard D. Fairbank. “Ik bied mijn oprechte excuses aan voor de begrijpelijke zorgen die het incident veroorzaakt onder de getroffenen en ik zal er alles aan doen om het goed te maken.” De bank geeft tot slot aan dat de lek in de webapplicatie inmiddels is gerepareerd, en dat de hack dit jaar een schadepost oplevert van tussen de $100 miljoen en $150 miljoen.