Pelanggaran Data Modal Satu: 100 juta pelanggan terekspos dalam peretasan besar-besaran

100 juta pelanggan data pribadi yang terekspos dalam pelanggaran data Capital One

Capital One, bank yang berbasis di Virginia dengan bisnis kartu kredit populer, pada hari Senin, mengumumkan bahwa seorang peretas memperoleh akses ke lebih dari 100 juta rekening pelanggan dan aplikasi kartu kredit yang mengakibatkan pelanggaran data yang sangat besar.

Menurut perusahaan dan Departemen Kehakiman A.S., data yang terkandung mencakup 140.000 nomor Jaminan Sosial, 80.000 nomor rekening bank, di samping puluhan juta aplikasi kartu kredit yang dicuri. Pelanggaran itu juga membahayakan satu juta nomor asuransi sosial Kanada – setara dengan angka Jaminan Sosial untuk orang Amerika, kata perusahaan itu.

Informasi yang dikumpulkan untuk aplikasi kartu kredit berasal dari konsumen dan usaha kecil yang diajukan dari tahun 2005 hingga awal 2019. Perusahaan menekankan bahwa mereka percaya tidak ada nomor rekening kartu kredit atau kredensial masuk yang dikompromikan. Ia juga menambahkan bahwa lebih dari 99 persen angka Jaminan Sosial tidak dikompromikan.

Perusahaan berencana untuk memberikan layanan pemantauan kredit gratis kepada mereka yang terkena dampak.

"Berdasarkan analisis kami hingga saat ini," kata bank dalam sebuah pernyataan, "kami percaya tidak mungkin bahwa informasi tersebut digunakan untuk penipuan atau disebarluaskan oleh individu ini." Namun, perusahaan masih menyelidiki.

Pelanggaran data, yang terjadi antara 12 Maret dan 17 Juli, terungkap hanya setelah tersangka, Paige A. Thompson, 33, seorang mantan insinyur perangkat lunak perusahaan teknologi Seattle yang juga pergi dengan pegangan "tidak menentu", meninggalkan jejak online bagi penyelidik untuk diikuti saat dia membual tentang peretasan.

Dia diduga "diposting di situs berbagi informasi GitHub tentang pencurian informasi dari server yang menyimpan data Capital One," menggunakan namanya sendiri pada 21 April, menyatakan dokumen pengadilan di Seattle dari tempat dia ditangkap.

Thompson dilaporkan dapat memperoleh akses ke data sensitif melalui "kesalahan konfigurasi" firewall pada aplikasi web. Itu memungkinkannya untuk berkomunikasi dengan server tempat Capital One menyimpan informasinya dan, akhirnya, mendapatkan file pelanggan.

Pada 17 Juli, a Twitter pengguna yang melihat kiriman Thompson di GitHub diemail Capital One memberitahukan bahwa data perusahaan telah dicuri dan bocor secara online.

Dua hari kemudian, pada 19 Juli, Capital One mengkonfirmasi kerentanan dalam sistemnya bahwa seorang hacker memang memperoleh "jenis informasi pribadi tertentu yang berkaitan dengan orang-orang yang telah mengajukan permohonan untuk produk kartu kreditnya dan kepada pelanggan kartu kredit Capital One". Perusahaan kemudian memberi tahu FBI.

Menurut pengaduan FBI, sebulan sebelum a Twitter pengguna yang “tidak menentu” mengirim pesan langsung ke Capital One yang memperingatkan tentang pemberian data bank, termasuk nama, tanggal lahir, dan nomor Jaminan Sosial. Pengguna itu kemudian melaporkan pesan tersebut ke Capital One.

"Saya pada dasarnya mengikat diri dengan rompi bom, menjatuhkan sumpah serapah yang dox dan mengakuinya," kata seorang. "Aku ingin membagikan ember itu, kupikir dulu."

"Capital One dengan cepat memberi tahu penegakan hukum terhadap pencurian data – memungkinkan FBI untuk melacak gangguan," kata Jaksa Agung A.S. "Saya memuji mitra penegak hukum kami yang melakukan semua yang mereka bisa untuk menentukan status data dan mengamankannya."

FBI mengeksekusi surat perintah pencarian di rumah Thompson pada Senin pagi dan menyita perangkat penyimpanan yang berisi salinan data.

Thompson muncul di pengadilan pada hari Senin dan diperintahkan ditahan sampai sidang pada hari Kamis. Dia didakwa dengan satu tuduhan penipuan komputer dan penyalahgunaan di Pengadilan Distrik A.S. di Seattle, dan bisa menghadapi hukuman 5 tahun penjara dan denda $ 250.000.

CEO Capital One mengatakan mereka senang hacker telah ditangkap, tetapi "sangat menyesal atas apa yang telah terjadi."

"Saya dengan tulus meminta maaf atas kekhawatiran yang dapat dipahami bahwa insiden ini harus menyebabkan mereka yang terkena dampak dan saya berkomitmen untuk memperbaikinya," kata CEO Richard D. Fairbank dalam sebuah pernyataan.

Perusahaan mengatakan mereka mengharapkan pelanggaran untuk biaya mereka hingga $ 150 juta, termasuk membayar pemantauan kredit untuk pelanggan yang terkena dampak.

Bank juga mengatakan pihaknya memperkirakan bahwa pelanggaran akan menelan biaya hingga $ 150 juta, termasuk membayar pemantauan kredit untuk pelanggan yang terkena dampak.