Sono stati hackerati dati personali di milioni di persone di Capital One, banca americana con Sede in Virginia. L’azienda, attraverso un comunicato diffuso il 30 luglio, ha dichiarato che l’incidente ha colpito circa 100 milioni di persone negli Stati Uniti e 6 milioni in Canada.
Nomi, indirizzi, numeri di telefono, storia bancaria, estratti conto, entità di prestiti ed altro sono tra i dati sottratti, ha reso noto l’azienda, precisando che gli hacker non sono arrivati però ad avere accesso ai numeri di conto corrente collegati ai numeri di carte di credito.
Secondo la banca, l’hackeraggio è stato rilevato il 19 luglio, precisando che l’hacker, apparentemente già arrestata, è riuscita a “sfruttare” una “vulnerabilità di configurazione” nella strutture informatiche dell’azienda. Il presidente di Capital One, Richard Fairbank, si è scusato dicendosi “grato che la responsabile sia stata catturata“, ma “profondamente dispiaciuto per quanto è accaduto“.
Cosa è successo
Il 29 luglio, agenti dell’FBI hanno arrestato Paige A. Thompson con il sospetto di aver scaricato circa 30 GB di dati relativi alle richieste di credito di Capital One da un server.
Tali dati includevano circa 140.000 numeri di previdenza sociale e circa 80.000 numeri di conti bancari su consumatori statunitensi e circa 1 milione di numeri di previdenza sociale (SIN) per clienti di carte di credito canadesi.
“È importante sottolineare che nessun numero di conto della carta di credito o credenziali di accesso è stato compromesso e oltre il 99% dei numeri di previdenza sociale non è stato compromesso”, ha dichiarato Capital One in una nota pubblicata sul suo sito.
“La più ampia categoria di informazioni a cui si è avuto accesso sono state le informazioni sui consumatori e le piccole imprese dal momento in cui hanno richiesto uno dei nostri prodotti con carta di credito dal 2005 all’inizio del 2019“, continua la nota. “Queste informazioni includevano informazioni personali che Capital One raccoglie regolarmente nel momento in cui riceve le richieste di carte di credito, inclusi nomi, indirizzi, codici postali, numeri di telefono, indirizzi e-mail e date di nascita.”
Il profilo della ex dipendente di Amazon
Il responsabile del databreach a Capital One è stato un ex dipendente della società di web hosting Amazon.
Presumibilmente il dipendente “infedele ha utilizzato le credenziali del firewall dell’applicazione Web per raggiungere il database del clienti della banca e di altre organizzazioni finanziarie“.
Capital One ha dichiarato di aspettarsi costi per sanare l’incidente compresi tra 100 e 150 milioni. La compagnia ha una polizza assicurativa a rischio cibernetico con una franchigia di 10 milioni e una copertura di 400 milioni di dollari.
Unicredit: “Stiamo effettuando gli approfondimenti necessari”
La banca italiana UniCredit e la casa automobilistica americana Ford hanno avviato indagini per accertare se i loro dati siano stati hackerati dalla violazione della sicurezza dei dati di Capital One,
Secondo quanto riporta quotidiano statunitense “Wall Street Journal”, la banca italiana sta esaminando se una directory che si trova su un server cloud è stata raggiunta senza autorizzazione.
UniCredit, la più grande banca italiana, ha dichiarato in una nota di aver contattato le autorità competenti e di effettuare tutti gli approfondimenti necessari.
“Il 30 luglio UniCredit è venuto a conoscenza del fatto che il suo nome è stato menzionato in relazione all’emissione di Capital One“, ha dichiarato il portavoce in una nota. “La sicurezza dei dati e la privacy sono le priorità chiave da sempre. UniCredit ha contattato le autorità interessate e sta effettuando tutti gli approfondimenti necessari”.