Un régulateur américain a infligé une amende au fournisseur de carte de crédit Capital One Financial Corp avec 80 millions de dollars par rapport à la violation de données de l’année dernière qui a révélé les informations personnelles de plus de 100 millions de demandeurs de cartes de crédit américains.
L’amende a été infligée par l’Office of the Comptroller of the Currency (OCC), un bureau indépendant du Département du Trésor des États-Unis qui régit l’exécution des lois relatives aux banques nationales.
Selon un communiqué de presse publié jeudi par l’OCC, Capital One n’a pas réussi à mettre en place une gestion des risques appropriée avant de migrer ses opérations informatiques vers un service cloud public, ce qui comprenait la conception et la mise en œuvre appropriées de certains contrôles de sécurité du réseau, des contrôles adéquats de prévention des pertes de données et une élimination efficace des alertes.
L’OCC a également déclaré que le fournisseur de cartes de crédit avait également laissé de nombreuses faiblesses dans son stockage de données basé sur le cloud lors d’un audit interne en 2015 et n’avait pas réussi à corriger les vulnérabilités de sécurité, violant les «Directives interagences établissant des normes de sécurité de l’information», que toutes les banques américaines doit se conformer.
Ces pratiques de sécurité dangereuses et médiocres ont entraîné une violation massive des données l’année dernière lorsqu’un seul pirate informatique a pu voler les informations de carte de crédit de plus de 106 millions de clients de Capital One.
Outre les informations de carte de crédit, le pirate a également réussi à voler environ 140 000 numéros de sécurité sociale et 80 000 numéros de compte bancaire liés à des clients américains, et 1 million de numéros d’assurance sociale canadiens.
Le pirate informatique, identifié comme l’ancien employé des services Web d’Amazon Paige Thompson, alias erratique, 33 ans, a été arrêté à la suite de la violation et accusé de fraude et d’abus informatiques, passibles de cinq ans de prison et d’une amende de 250000 dollars.
La faille s’est produite après que Thompson aurait exploité un pare-feu mal configuré sur le serveur cloud Amazon Web Services de Capital One en mars et volé sans autorisation plus de 700 dossiers de données stockés sur ce serveur.
En plus de l’amende civile de 80 millions de dollars, l’OCC a également ordonné à Capital One Finance d’améliorer ses défenses de sécurité en matière de cybersécurité et de soumettre un plan à l’OCC dans les 90 jours décrivant comment il entend le faire.