Paige Thompson, une ancienne ingénieure en logiciel d’Amazon qui a volé les demandes de carte de crédit, les numéros de sécurité sociale et les numéros de compte bancaire de plus de 100 millions de personnes à Capital One, coûtant à l’entreprise au moins 270 millions de dollars (375 millions de dollars), a été condamnée à une peine de prison. purgé et juste cinq ans de probation mardi soir devant un tribunal de Washington.
Thompson, 37 ans, qui utilisait également le pseudonyme en ligne « Erratic », a été reconnu coupable en juin de fraude électronique, d’accès non autorisé à un ordinateur et d’endommagement d’un ordinateur protégé. Le jury de Seattle l’a acquittée d’autres chefs d’accusation, dont le vol d’identité, selon le PA. Le juge Robert Lasnick a déclaré que la prison serait particulièrement difficile pour Thompson « en raison de sa santé mentale et de son statut transgenre ».
Au cours du procès, les avocats de Thompson ont fait valoir qu’elle n’avait jamais abusé des informations personnelles des entreprises qu’elle avait piratées. Les avocats du pirate ont en outre fait valoir que Thompson était un pirate informatique qui avait tenté de collecter de l’argent auprès d’entreprises en soulignant les vulnérabilités de leurs systèmes, selon Le temps de Seattle. Un juge doit encore décider de la restitution pour les victimes de ses hacks, qui devrait être déterminée en décembre, selon le bureau du procureur américain. Capital One a conclu un règlement de 190 millions de dollars (264 dollars) avec les clients concernés et a été condamné à une amende de 80 millions de dollars (111 dollars) par le département du Trésor.
Les procureurs ont dénoncé ce qu’ils ont appelé une peine légère, demandant à l’origine à Thompson de purger sept ans. Dans un Libération, l’avocat américain Nick Brown a déclaré que les procureurs étaient « très déçus de la décision du tribunal en matière de condamnation. Ce n’est pas à cela que ressemble la justice. Les procureurs ont fait valoir devant le tribunal que Thompson avait causé des centaines de millions de dollars de dommages aux entreprises et aux particuliers en piratant non seulement Capital One, mais 30 autres entreprises, établissements d’enseignement, etc. Certains de ces autres piratages impliquaient des données personnelles, mais les procureurs se sont abstenus d’accuser Thompson d’en vendre ou de les partager.
Les procureurs ont également fait valoir que Thompson avait utilisé un outil numérique qu’elle avait elle-même construit pour parcourir Amazon Web Services (AWS) et télécharger les données des utilisateurs des entreprises. Elle a également utilisé l’outil pour implanter un logiciel de minage cryptographique parasite sur les ordinateurs d’autres entreprises qui enverraient le produit à un portefeuille cryptographique sous son contrôle.
En 2019, Thompson a été arrêté après s’être vanté de la violation de données sur Twitter et d’autres médias sociaux. Elle aurait posté un message sur une chaîne Slack disant: « Je me suis essentiellement attaché avec un gilet anti-bombes, laissant tomber les capitaux dox et l’admettant. » Elle a également dirigé un groupe de piratage et de cracking sur la plate-forme sociale Meetup appelé « Seattle Warez Kiddies ».
De son côté, Capital One a longtemps traîné des pieds dans la mise à jour de ses méthodologies de cybersécurité laxistes. Des rapports de 2019 ont montré qu’avant même le piratage, certains employés de la cybersécurité de Capital One disaient que l’entreprise n’avait pas réussi à résoudre les vulnérabilités du pare-feu. L’entreprise n’avait pas non plus installé le logiciel qu’elle avait déjà acheté pour l’aider à détecter les violations.
Gizmodo a contacté Capital One pour commenter la condamnation de Thompson et ce que la société a fait pour renforcer ses capacités de cybersécurité, mais n’a pas immédiatement répondu. Jusqu’à la semaine dernière, les victimes du piratage étaient toujours en mesure d’obtenir de l’argent d’un règlement découlant d’un recours collectif qui affirmait que l’entreprise avait fait preuve de négligence dans ses méthodes de cybersécurité.
En 2020, le bureau du contrôleur de la monnaie du département américain du Trésor a enquêté sur Capital One et a constaté que la banque ignorait les problèmes évidents de ses systèmes basés sur le cloud et que ses propres audits internes ne parvenaient pas à reconnaître ces défauts. L’OCC a déterminé que la banque devait payer une amende de 80 millions de dollars (111 millions de dollars) et nommer un comité chargé de superviser les normes de cybersécurité de la banque.