Lundi, le public a appris que Capital One, le troisième plus grand émetteur de cartes de crédit du pays, avait subi un piratage massif. Les données sensibles de 100 millions de personnes aux États-Unis et de 6 millions de personnes au Canada ont été compromises, selon une déclaration de l’entreprise, ce qui en fait l’un des vols de données les plus importants jamais réalisés par une banque. Ce n’est pas la seule chose qui rend l’histoire remarquable. La femme qui, selon le gouvernement américain, a commis la violation – Paige Thompson, une résidente de Seattle de 33 ans qui a été surnommée «erratique» en ligne – n’a pas seulement laissé une trace de fil d’Ariane aux enquêteurs. Elle a laissé des miches de pain entières.
Le piratage en lui-même est colossal, et comme pour toute violation de données, il est pratiquement impossible de savoir où se trouvent déjà les données ou pourraient éventuellement finir maintenant qu’elles sont disponibles. Il est souvent également difficile de savoir qui l’a fait. Maintenir l’anonymat en ligne n’est pas facile, mais des pirates informatiques dédiés le gèrent. Thompson, cependant, ne semblait pas du tout intéressé à rester sous le radar. Moins de 10 jours après que Capital One a découvert que ses systèmes avaient été violés, le FBI a arrêté Thompson, qui aurait accédé à la mine d’informations en pénétrant par effraction dans un pare-feu qui avait été mal configuré à un moment donné en mars.
La violation comprend des données provenant de dizaines de millions de demandes de carte de crédit déposées auprès de Capital One entre 2005 et 2019, y compris des informations sur les adresses personnelles, les numéros de téléphone, les adresses e-mail, les revenus auto-déclarés, les scores de crédit, les soldes de comptes et d’autres types d’informations les gens font une demande de carte de crédit. Selon Une libération de Capital One, «aucun numéro de compte bancaire ou numéro de sécurité sociale n’a été compromis», à l’exception «d’environ 140 000 numéros de sécurité sociale de nos clients de carte de crédit» et «d’environ 80 000 numéros de compte bancaire liés de nos clients de carte de crédit sécurisée». C’est assez gros sauf. Et de l’autre côté de la frontière, environ 1 million de numéros d’assurance sociale – la version canadienne des numéros de sécurité sociale – ont également été exposés.
Selon un acte d’accusation fédéral, Thompson a publié les données qu’elle a volées sur son profil GitHub le 21 avril, où elle avait également téléchargé son curriculum vitae avec son nom complet et des détails sur ses antécédents professionnels. Thompson a précédemment travaillé pour Amazon Web Services, dont Capital One est un client majeur. Bien qu’il ne soit pas clair si quelqu’un a téléchargé les données, au moins une personne est tombée dessus – puis a alerté Capital One dans un e-mail le 17 juillet.
Bien que Thompson ait prétendument utilisé le réseau d’anonymat Tor ainsi qu’un VPN pour l’aider à masquer son activité alors qu’elle commettait le piratage, sa sécurité opérationnelle est tombée beaucoup plus laxiste après avoir obtenu les données. Thompson semble s’être vanté des données volées dans une chaîne Slack, selon des captures d’écran partagées dans les documents judiciaires, qui étaient liées dans un groupe Meetup.com qu’elle a hébergé appelé Seattle Warez Kiddies, décrit comme un événement pour «quiconque apprécie systèmes distribués, programmation, piratage, cracking. » Dans ce groupe Slack, Thompson, surnommé «erratique», a écrit le 27 juin: «Je veux le retirer de mon serveur, c’est pourquoi j’archive tout ça lol.» L’un des autres membres du groupe Slack a écrit: «merde sommaire. n’allez pas en prison plz. Dans le même canal Slack, Thompson a également déjà publié une photo d’une facture d’un vétérinaire pour l’un de ses animaux de compagnie, qui incluait également son nom complet et la même adresse sur le CV publié sur sa page GitHub.
Le FBI dit avoir également trouvé des preuves de l’implication de Thompson dans le piratage sur Twitter, où elle a publié de nombreux tweets sur la sécurité informatique et envoyé des messages directs à la personne qui a signalé la violation de données à Capital One. «Je me suis essentiellement attaché avec un gilet anti-bombe, laissant tomber Capitol One Dox et l’admettant. Je veux d’abord distribuer ces seaux », a-t-elle écrit.
Ce n’est pas la première fois que quelqu’un qui commet un hack majeur ne couvre pas ses traces. Plus tôt cette année, le FBI a annoncé qu’il avait démantelé une équipe en Russie qui utilisait des logiciels malveillants pour voler des informations de compte bancaire et de l’argent grâce en partie à des publicités publiées par les voleurs de données pour des services de cybercriminalité. Mais ce piratage n’a pas compromis le nombre de personnes touchées par le piratage de Capital One, dont les dommages ne sont toujours pas clairs.
Nous en apprendrons probablement plus sur Thompson jeudi, lorsqu’elle comparaîtra devant le tribunal pour une audience.
Avez-vous été informé que vous avez été affecté par le piratage de Capital One? Parlez-moi à april.glaser@slate.com.