La ex empleada de Amazon, Paige Thompson, quien fue arrestada el mes pasado en relación con la violación de datos de Capital One, ha sido acusada de piratear no solo al emisor de tarjetas de crédito de Estados Unidos, sino también a más de otras 30 compañías.
Una acusación revelada el miércoles indica que Thompson no solo robó datos de servidores mal configurados alojados en una empresa de computación en la nube, sino que también utilizó el poder de cómputo de servidores pirateados para extraer criptomonedas, una práctica conocida como cryptojacking.
Thompson, conocido en línea como «erratic», fue arrestada por el FBI el 29 de julio por una violación masiva en Capital One Financial Corp, que expuso la información personal de más de 100 millones de solicitantes de tarjetas de crédito en Estados Unidos y 6 millones en Canadá.
Los datos robados incluyeron aproximadamente 140 mil números de seguridad social y 80 mil números de cuentas bancarias vinculados a clientes de Estados Unidos, y un millón de números de seguro social pertenecían a ciudadanos canadienses, junto con los nombres, direcciones, fechas de nacimiento, puntajes de crédito, límites de crédito de algunos clientes, saldos, historial de pagos e información de contacto.
La policía de percató de la actividad de Thompson luego de que ella publicara información relacionada con su robo de datos de Capital One en su cuenta de GitHub.
Por lo tanto, un gran jurado federal acusó ayer a Thompson de un total de dos cargos, uno de fraude electrónico y otro de fraude informático y abuso, por acceder de forma ilegal a datos de más de 30 entidades, incluyendo Capital One, Departamento de Justicia de Estados Unidos, entre otras.
Aunque la acusación no nombró a la compañía de computación en la nube involucrada, es probable que sea Amazon, ya que Thompson trabajó anteriormente para Amazon Web Services, que proporciona dichos servicios de cómputo en la nube a Capital One y otras compañías.
Sin embargo, debe tenerse en cuenta que Amazon Web Services no se vio comprometida de ninguna forma, ya que Thompson obtuvo acceso al servidor de la nube debido a la configuración incorrecta de Capital One y no por medio de una vulnerabilidad en la infraestructura de Amazon.
La acusación no proporcionó nombres de las otras 30 víctimas, pero describió a 3 de las organizaciones como una agencia estatal fuera de Washington, un conglomerado de telecomunicaciones fuera de Estados Unidos y una universidad pública de investigación fuera de Washington.
Los investigadores no han encontrado evidencia de que Thompson venda o difunda la información robada.
La ingeniera de software de 33 años con sede en Seattle permanece bajo custodia y está programada para ser procesada en la acusación en el Tribunal de Distrito de Estados Unidos en Seattle el 5 de septiembre. Podría ser condenada a 25 años de prisión.