Capital One Financial Corp. informó el acceso ilegal a datos de cerca de 100 millones de personas en Estados Unidos luego de que la fiscalía acusara a una mujer de Seattle identificada por Amazon como una extrabajadora de servicios en la nube de ingresar al servidor del banco.
Si bien la denuncia no identifica al proveedor de servicios en la nube que almacenó los datos presuntamente robados, documentos mencionan información almacenada en S3, una referencia a Simple Storage Service, el popular software de almacenamiento de datos de Amazon Web Services.
Un representante de AWS confirmó que la nube de la compañía almacenaba los datos de Capital One que fueron robados y dijo que no se accedió a través de una vulnerabilidad en los sistemas de la empresa. La fiscalía acusó que el acceso a los datos bancarios se realizó a través de un firewall mal configurado que protegía una de sus aplicaciones.
Ciberataque en Europa pone en jaque a multinacionales
Paige A. Thompson fue arrestada el lunes y compareció ante un tribunal federal en Seattle. El robo de datos ocurrió en algún momento entre el 12 de marzo y el 17 de julio, detalló la fiscalía de Seattle.
Thompson fue empleada de Amazon Web Services hasta 2016, indicó el vocero Grant Milne. La filtración descrita por Capitol One no requirió conocimiento interno, precisó.
"Lamento profundamente lo que sucedió", declaró Richard D. Fairbank, máximo ejecutivo de Capital One, en un comunicado. "Me disculpo sinceramente por la comprensible inquietud que este incidente debe estar causando a los afectados".
Alrededor de 6 millones de personas en Canadá también se vieron afectadas por el robo, agregó Capital One.
ED