Người Đánh Bại Của Capital One Không Che Đậy Dấu Vết

Vào thứ Hai, FBI và ngân hàng Capital One tiết lộ vụ việc xâm nhập dữ liệu của 106 triệu đơn đăng ký thẻ tín dụng, ảnh hưởng đến thông tin như tên, địa chỉ, số điện thoại và ngày sinh, cùng với 140,000 số Bảo hiểm Xã hội, 80,000 số tài khoản ngân hàng và một số điểm tín dụng và dữ liệu giao dịch. Đây là một trong những vụ xâm nhập lớn nhất của một tổ chức tài chính lớn. Bốn tháng sau sự kiện, chỉ trong vòng 10 ngày kể từ khi Capital One phát hiện ra, FBI đã bắt giữ một người liên quan đến tội ác.

Cư dân Seattle Paige A. Thompson, 33 tuổi, bị buộc tội vào thứ Hai với một cáo buộc về lừa đảo và lạm dụng máy tính, theo FBI và hồ sơ tòa án. Cáo trạng tội cáo buộc, Thompson sử dụng biệt danh tin tặc "erratic" trên nhiều tài khoản và diễn đàn trực tuyến. Cô ta được cáo buộc đã lợi dụng một tường lửa cấu hình sai để truy cập vào kho lưu trữ đám mây của Capital One và trộm dữ liệu vào tháng Ba. Vào ngày 21 tháng 4, FBI nói rằng Thompson đăng dữ liệu lên tài khoản GitHub của mình, trong đó bao gồm tên đầy đủ và sơ yếu lý lịch của cô ta. Không rõ liệu có ai tải dữ liệu về sau khi cô ta đăng lên hay không, nhưng rất có thể vì Thompson đã nói mở cửa về việc đánh cắp dữ liệu, ngay cả trên Slack.

Ít nhất có một người có vẻ đã phát hiện ra kho dữ liệu này. Theo tài liệu tòa án cho biết, vào ngày 17 tháng 7, một người không xác định đã thông báo cho Capital One về sự tồn tại của nó bằng cách gửi email đến địa chỉ tiết lộ trách nhiệm của ngân hàng với một cảnh báo ngắn về dữ liệu và một liên kết đến nó trên GitHub.

"Capital One nhanh chóng thông báo cho cơ quan chức năng về việc mất dữ liệu—cho phép FBI theo dõi sự xâm nhập," bác sĩ Brian Moran, ủy viên công tố Hoa Kỳ, nói trong một tuyên bố. "Tôi khen ngợi đồng đội của chúng tôi trong lực lượng an ninh đang làm tất cả những gì họ có thể để xác định tình trạng của dữ liệu và bảo vệ nó."

Capital One cho biết trong một tuyên bố vào thứ Hai rằng dữ liệu bị đánh cắp liên quan đến những người đăng ký thẻ tín dụng và khách hàng sử dụng thẻ tín dụng hiện tại. Vụ việc cũng ảnh hưởng đến 6 triệu người Canada, bao gồm một triệu số Bảo hiểm Xã hội Canada, ngoài hơn 100 triệu người tiêu dùng Hoa Kỳ bị ảnh hưởng.

"Capital One ngay lập tức sửa chữa lỗ hổng cấu hình mà người này đã lợi dụng và ngay lập tức bắt đầu hợp tác với cơ quan chức năng liên bang," ngân hàng nói. "FBI đã bắt giữ người chịu trách nhiệm và người đó đang bị giữ giam. Dựa trên phân tích của chúng tôi đến nay, chúng tôi tin rằng khả năng cao không có thông tin nào được sử dụng cho gian lận hoặc phổ biến bởi người này. Tuy nhiên, chúng tôi sẽ tiếp tục điều tra."

Capital One phát hiện vụ việc vào ngày 19 tháng 7. FBI nhanh chóng liên kết sự kiện với Thompson, theo tuyên bố hình sự, vì nó quá dễ liên kết trang Github nơi cô ta đăng thông tin về dữ liệu bị đánh cắp với tên và danh tính thật của cô ta. Từ đó, các điều tra viên tìm kiếm thông tin liên lạc của Thompson và làm ngược lại để xem liệu nhật ký hệ thống của Capital One có khớp với hồ sơ hoạt động trực tuyến của Thompson hay không.

Thompson được cho là đã sử dụng mạng ẩn danh Tor và VPN IPredator khi xâm nhập vào Capital One, trộm dữ liệu và đăng thông tin lên GitHub vào tháng 4, và cô ta dường như tự tin rằng chúng sẽ bảo vệ danh tính của mình. Nhưng những công cụ này hoàn toàn không phải là cách đơn giản để che giấu dấu vết của bạn, đặc biệt là khi bạn cũng đăng thông tin về hành động của mình trên tài khoản liên kết với danh tính thật của bạn.

Một bức ảnh chụp màn hình của cuộc trò chuyện trên Slack từ tuyên bố hình sự cho thấy một cá nhân không tên nói "hành vi nghi ngờ, đừng vào tù làm ơn," sau khi Thompson được cho là đã đăng một liên kết đến thông tin về dữ liệu bị đánh cắp. Một người dùng có tên là "erratic" trả lời, "Tôi muốn nó ra khỏi máy chủ của mình, đó là lý do tôi lưu trữ tất cả nó lol. Nó đều được mã hóa. Tôi chỉ không muốn nó xung quanh thôi."

Một ảnh chụp màn hình khác cho thấy một số tin nhắn được cho là của Thompson gửi qua tin nhắn trực tiếp Twitter. "Tôi đã basically tự trang bị mình với một chiếc áo phát nổ, đang rơi bỏ 'capitol ones dox' và thừa nhận. Tôi muốn phân phối những thứ đó trước tôi nghĩ. Có SSNs ... với tên đầy đủ và ngày tháng năm sinh."

Theo cáo buộc hình sự, sơ yếu lý lịch trên tài khoản GitHub được cho là của Thompson báo cáo rằng cô ta là một kỹ sư hệ thống từ năm 2015 đến 2016 tại Amazon Web Services, nơi lưu trữ tài khoản cô ta được cho là đã xâm nhập. CapitalOne nói rằng cấu hình sai lầm nằm trong cơ sở hạ tầng của chính mình, chứ không phải là của AWS. Amazon xác nhận với MYTOUR rằng Thompson là một cựu nhân viên.

Giống như trong thế giới vật lý, việc tách rời hành động trực tuyến khỏi danh tính thật của bạn khá khó khăn. Điều này là một rào cản đối với những người như nhà hoạt động, những người chống đối chính trị và người tiết lộ thông tin, nhưng đây cũng là một thách thức mà những tin tặc tội phạm cố gắng vượt qua với các mức độ khác nhau của sự tinh tế và thành công. Công cụ như VPNs và Tor có thể mang lại cảm giác bảo vệ giả mạo cho những người thực sự không biết cách che giấu hành động của họ một cách đầy đủ.

"Dưới điều kiện tối ưu, về nguyên tắc, các công cụ như Tor có thể cô lập những dấu vết của bạn," nói Kenn White, giám đốc Dự án Kiểm định Mật mã Mở. "Vấn đề là, không có gì thực sự hữu ích khi cô lập. Mọi người sử dụng mạng xã hội, họ sử dụng các tên đã quen và đã biết. Rất khó để phân khúc hóa cuộc sống trực tuyến của bạn, và chỉ cần một sai lầm để bị bắt, đặc biệt là đối với các tội ác có quy mô lớn như vậy."

Tuy nhiên, tội phạm trực tuyến, lừa đảo và các tin tặc xâm nhập độc hại khác thường ít khi bị bắt, và các điều tra thành công thường mất nhiều tháng hoặc nhiều năm. Điều này đặt ra một số câu hỏi về cách mà lực lượng chức năng đã nhanh chóng theo dõi tin tặc đề xuất trong vụ việc xâm nhập Capital One. Trong trường hợp tấn công mạng lớn Equifax năm 2017 chẳng hạn, các điều tra viên vẫn chưa công bố tên tội phạm hay động cơ.

Capital One ước tính rằng phản ứng lại sự cố sẽ tốn từ 100 triệu đến 150 triệu đô la trong ngắn hạn. Nhưng, như thường lệ, người tiêu dùng mới là nạn nhân thực sự. Theo dõi tài khoản tài chính và báo cáo tín dụng của bạn để phát hiện bất kỳ hoạt động bất thường nào và đảm bảo rằng tất cả tài khoản kỹ thuật số của bạn đều có mật khẩu mạnh và bật xác minh hai yếu tố để tránh hoặc nhanh chóng bắt gặp những cố gắng xâm nhập vào cuộc sống số của bạn. Tuy nhiên, trong trường hợp vụ việc Capital One, có khả năng rằng dữ liệu không thực sự lưu thông công khai, mặc dù thông tin về nó đã được đăng gần ba tháng.

"Câu hỏi triệu đô là ai có bản ghi," White nói, " liệu có ai đó đã nắm giữ nó trước khi bị bắt."

Cập nhật ngày 30 tháng 7 năm 2019, 9:00 sáng giờ ET để bao gồm ý kiến từ Amazon.

Sửa lỗi ngày 29 tháng 8 năm 2019, 3:00 chiều giờ ET: Bài viết này đã được sửa để làm rõ rằng dữ liệu bị đánh cắp không được đăng trực tiếp trên Github. Thay vào đó, dữ liệu đã đăng chứa một thư mục tệp liên quan đến thông tin bị đánh cắp, nhưng không phải là dữ liệu chính nó.

• Chính trị cao cấp: Một công ty công nghệ sinh học về cây cỏ gây sốc cho các nhà trồng nhỏ
• Bí mật về mặt trăng mà khoa học vẫn cần giải đáp
• Máy pha cà phê tự động siêu cấp có đáng giá không?
• Những thuật toán xuất sắc không nhận diện khuôn mặt người da đen một cách bình đẳng
• Những hacker đã tạo ra một ứng dụng giết người để chứng minh một điểm
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Kiểm tra lựa chọn của đội ngũ Gear của chúng tôi về bộ theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất.
• 📩 Nhận thêm nhiều thông tin nội bộ của chúng tôi với bản tin hàng tuần Backchannel của chúng tôi