Una pirata informática obtuvo acceso a información personal de más de 100 millones de solicitudes de crédito de Capital One, incluidos seis millones de Canadienses, dijo el banco el lunes cuando las autoridades federales de Estados Unidos, arrestaron a un sospechoso en el caso.
Paige A. Thompson, quien también se hace llamar «errática», fue acusada de un solo cargo de fraude y abuso informático en el Tribunal de Distrito de los Estados Unidos en Seattle. Thompson hizo una comparecencia inicial en la corte y se le ordenó permanecer bajo custodia en espera de una audiencia de detención el jueves.
La pirata informática obtuvo información que incluye puntajes de crédito y saldos más los números de Seguridad Social de aproximadamente 140,000 clientes en los Estados Unidos, dijo el banco. Que Ofrecerá servicios gratuitos de monitoreo de crédito a los afectados.
En Canadá, donde proporciona tarjetas de crédito Mastercard para la red minorista canadiense de Costco Wholesale, Capital One dijo que aproximadamente un millón de números de seguro social se vieron comprometidos en este incidente.
El FBI allanó el lunes la residencia de Thompson y confiscó dispositivos digitales. Una búsqueda inicial arrojó archivos que hacían referencia a Capital One y «otras entidades que pueden haber sido blanco de intrusiones de red intentadas o reales».
Capital One, con sede en McLean, Virginia, dijo el lunes que descubrió la vulnerabilidad en su sistema el 19 de julio e inmediatamente buscó ayuda de la policía para atrapar al autor.
Según la queja del FBI, alguien envió un correo electrónico al banco dos días antes para notificarle que habían aparecido datos filtrados en el sitio de alojamiento de códigos GitHub, propiedad de Microsoft.
Y un mes antes de eso, dijo el FBI, un usuario de Twitter que fue «errático» envió a otro usuario mensajes directos advirtiendo sobre la distribución de datos del banco, incluidos nombres, fechas de nacimiento y números de Seguro Social. Ese usuario luego reportó el mensaje a Capital One.
Capital One dijo que cree que es poco probable que la información se haya utilizado para fraude, pero continuará investigando. La violación de datos afectó a unos 100 millones de personas en los EE. UU. Y a seis millones en Canadá.
El banco dijo que la mayor parte de los datos pirateados consistía en información suministrada por consumidores y pequeñas empresas que solicitaron tarjetas de crédito entre 2005 y principios de 2019. Además de datos como números de teléfono, direcciones de correo electrónico, fechas de nacimiento e ingresos autoinformados, el hacker también pudo acceder a puntajes de crédito, límites de crédito y saldos, así como a fragmentos de información de transacciones de un total de 23 días en 2016, 2017 y 2018.
«Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió», dijo el CEO de Capital One, Richard D. Fairbank. «Pido disculpas sinceramente por la preocupación comprensible que este incidente debe estar causando a los afectados y estoy comprometido a corregirlo».
Capital One Financial Corp., es el séptimo banco comercial más grande de la nación con activos de $ 373.6 mil millones al 30 de junio, es la última compañía de EE. UU. En sufrir una importante violación de datos en los últimos años.
Otros bancos que han sido blanco de los ciberpiratas
En Canadá, Desjardins Group reveló una violación de datos en junio que vio la filtración de nombres, direcciones, fechas de nacimiento, números de seguro social y otra información privada de aproximadamente 2.7 millones de personas y 173,000 empresas.
Desjardins, una cooperativa con sede en Quebec, dijo que un empleado, que ha sido despedido desde que se detectó la violación en diciembre de 2018, fue el responsable. Una investigación policial sobre el incidente está en curso.
En 2017, una violación de datos en Equifax, una de las principales compañías de informes de crédito, expuso los números de Seguridad Social y otra información confidencial de aproximadamente la mitad de la población de los EE. UU. Y aproximadamente 19,000 canadienses.
La Oficina del Comisionado de Privacidad de Canadá concluyó en abril que la compañía no cumplió con sus obligaciones de privacidad con los canadienses, incluidas las garantías de seguridad deficientes y la retención de información durante demasiado tiempo, pero no niveló las multas.
La semana pasada, Equifax acordó pagar al menos $ 700 millones para resolver demandas por la violación en un acuerdo con las autoridades federales y los estados. El acuerdo incluye hasta $ 425 millones en alivio monetario para los consumidores.
El costo promedio de una violación de datos en los EE. UU. El año pasado fue de poco menos de $ 8 millones, según un estudio de IBM Security and Ponemon Institute.