Paige Thompson, una ex-Amazon ingeniero de software que robó las solicitudes de tarjetas de crédito, números de seguro social, y números de cuenta bancaria de más de 100 millones de personas de Capital unocostando a la empresa al menos $270 millón, fue sentenciado a tiempo cumplido y solo cinco años de libertad condicional el martes por la noche en un Washington tribunal.
Thompson, de 37 años, que también usaba el nombre de usuario en línea «Erratic», fue declarado culpable en junio. de fraude electrónico, acceso no autorizado a una computadora y daño a una computadora protegida. El jurado de Seattle la absolvió de otros cargos, incluido el de robo de identidad, según el punto de acceso. El juez Robert Lasnick dijo que la prisión sería especialmente difícil para Thompson “debido a su salud mental y su condición de transgénero.”
Durante el juicio, los abogados de Thompson argumentaron que ella nunca hizo mal uso de la información personal. de las empresas que hackeó. Los abogados del pirata informático argumentaron además que Thompson era un pirata informático de sombrero blanco que había estado intentando recaudar dinero de las empresas señalando vulnerabilidades en sus sistemas, según Los tiempos de Seattle. Un juez aún tiene que decidir la restitución de las víctimas de sus ataques, lo que debería determinarse este diciembre, según la oficina del fiscal federal. Capital One llegó a un acuerdo de $190 millones con los clientes afectados y el Departamento del Tesoro le impuso una multa de $80 millones.
Los fiscales denunciaron lo que ellos llamó una sentencia leve, originalmente pidiendo para que Thompson sirva Siete años. en un liberarel fiscal federal Nick Brown dijo que los fiscales estaban “muy decepcionados con la decisión de sentencia del tribunal. Así no es como se ve la justicia”. Los fiscales argumentaron en la corte que Thompson hizo cientos de millones de dolares en daños a empresas e individuos a través de hacks no solo de Capital One, sino Otras 30 empresas, instituciones educativas y más. Algunos de esos otros los hackeos involucraron datos personales, pero los fiscales no llegaron a acusar a Thompson de vender o compartir nada de eso.
Los fiscales también argumentaron que Thompson usó una herramienta digital que ella misma construyó para revisar Amazon Web Services (AWS) y descargar los datos de los usuarios de las empresas. También usó la herramienta para plantar software parásito de criptominería en las computadoras de otras compañías que enviarían las ganancias a una billetera criptográfica bajo su control.
G/O Media puede recibir una comisión
En En 2019, Thompson fue atrapado después de presumir sobre la violación de datos en Twitter y otras redes sociales. Según los informes, publicó un mensaje en un canal de Slack que decía: «Básicamente me he atado un chaleco antibombas, solté los dox capitales y lo admití». También dirigió un grupo de hacking y cracking en la plataforma social. Reunirse llamado «Seattle Warez Kiddies».
Por su parte, Capital One ha tardado mucho tiempo en actualizar su Metodologías laxas de ciberseguridad. Los informes de 2019 mostraron que, incluso antes del ataque, algunos empleados de seguridad cibernética de Capital One decían que la empresa no había logrado Dirección vulnerabilidades del cortafuegos. La empresa tampoco había instalado el software que ya había comprado que la ayudaría a detectar infracciones.
Gizmodo contactó a Capital One para comentar sobre la sentencia de Thompson y lo que la compañía ha hecho para reforzar sus capacidades de ciberseguridad. pero no recibió respuesta inmediata. tuasta la semana pasada, las víctimas del hackeo eran todavía es capaz de asegurar el dinero de un acuerdo derivado de una demanda colectiva que afirmaba que la empresa fue negligente en sus métodos de ciberseguridad.
En 2020, la Oficina del Contralor de Moneda del Departamento del Tesoro de EE. UU. investigó Capital One y descubrió que el banco ignorado problemas obvios con sus sistemas basados en la nube y sus propias auditorías internas rutinariamente no reconocían esas fallas. La OCC determinó que el banco tenía que pagar una multa de $80 millones y nombrar un comité para supervisar los estándares de seguridad cibernética del banco.