Capital One Financial, banca americana con una vasta attività nel settore dei prestiti e delle carte di credito, ha reso noto di aver subito un attacco hacker che ha portato alla violazione dei dati personali relativi a 100 milioni di clienti negli Stati Uniti e 6 milioni in Canada. Oggetto del data breach, avvenuto tra il 12 marzo e il 17 luglio, sono dati quali nomi e indirizzi, ma non numeri delle carte di credito, ha assicurato l’azienda; l’attacco ha preso di mira clienti che avevano presentato alla banca con sede in Virginia richiesta per una carta di credito o che sono già clienti delle carte di credito di Capital One.
L’hacker sospettata di essere l’autrice dell’attacco, la 33enne Paige Thompson, è stata arrestata dall’Fbi. La Thompson è una ex impiegata come ingegnere del software in un’azienda tecnologica di Seattle; si è presentata ieri alla corte distrettuale degli Stati Uniti di Seattle per una prima udienza ma non ha ancora chiarito il movente. La Thompson ha pubblicato i dati sottratti sulla piattaforma di coding GitHub; un utente della piattaforma che ha visto il post ha informato Capital One del furto di dati.
Capital One ha detto di essere venuta a conoscenza del data breach il 19 luglio e che il costo stimato dell’incidente di sicurezza è compreso fra 100 milioni e 150 milioni di dollari nel 2019, soprattutto per le notifiche ai clienti, il monitoraggio dei crediti e le spese per l’assistenza legale.
Il data breach ha compromesso tra l’altro circa 140.000 numeri di Social security (un equivalente della tessera sanitaria in Italia) e 80.000 numeri di conto corrente bancario; l’hacker è riuscita anche ad accedere alle informazioni personali che i clienti (sia privati che piccole imprese) hanno rilasciato nella richiesta per la carta di credito, come numero di telefono, indirizzo fisico e di posta elettronica, la valutazione del rischio, l’estratto conto. Sono stati compromessi anche frammenti delle transazioni effettuate durante il 2016, 2017 e 2018ma non i numeri delle carte di credito o le credenziali per il log-in, ha sottolineato Capital One; il 99% dei numeri di social security nel suo database non sono stati toccati.
L’attacco è stato reso possibile grazie a una falla nella configurazione del firewall per una web application – falla già risolta, ha chiarito ancora la banca.
“Sono contento che la responsabile dell’attacco sia stata arrestata, ma sono costernato per quanto accaduto”, ha dichiarato Richard D. Fairbank, presidente e ceo di Capital One. “Mi scuso sinceramente per le comprensibili preoccupazioni che questo incidente sta causando”. Fairbank si è detto impegnato per risolvere il problema e scongiurare ogni impatto sui clienti di Capital One.
