Ehemaliger Amazon-Mitarbeiter wegen Capital-One-Hacks im Jahr 2019 verurteilt

Ehemaliger Amazon-Mitarbeiter wegen Capital-One-Hacks im Jahr 2019 verurteilt

Ein ehemaliger Amazon Web Services (AWS)-Ingenieur wurde für schuldig befunden, sich in die Cloud-Speichersysteme von Kunden gehackt und Daten im Zusammenhang mit der massiven Verletzung von Capital One im Jahr 2019 gestohlen zu haben. Ein US-Bezirksgericht in Seattle hat Paige Thompson am Freitag wegen Computer- und Überweisungsbetrugs in sieben Fällen für schuldig befunden, ein Verbrechen, das mit bis zu 20 Jahren Gefängnis geahndet wird.

Thompson, der im Internet auch unter dem Namen „Erratic“ bekannt war, wurde verhaftet, weil er im Juli 2019 den Capital One-Hack durchgeführt hatte. Die Sicherheitsverletzung war eine der größten, die jemals registriert wurde, und es wurden die Namen, Geburtsdaten, Sozialversicherungsnummern, E-Mail-Adressen und Telefonnummern von über 100 Millionen Menschen in den USA und Kanada offengelegt. Capital One wurde seitdem mit einer Geldstrafe von 80 Millionen US-Dollar belegt, weil es angeblich die Daten der Benutzer nicht gesichert hatte und mit betroffenen Kunden über 190 Millionen US-Dollar abgerechnet.

EIN Pressemitteilung des Justizministeriums (DOJ) gibt an, dass Thompson ein Tool entwickelt hat, das AWS nach falsch konfigurierten Konten durchsucht und diese Konten dann nutzt, um Zugang zu den Systemen von Capital One und Dutzenden anderer AWS-Kunden zu erhalten. Die Staatsanwälte sagen auch, Thompson habe die Server von Unternehmen „gekapert“, um Kryptowährungs-Mining-Software zu installieren, die alle Einnahmen auf ihre persönliche Krypto-Brieftasche überweisen würde. Sie „prahlte“ dann mit ihren Fehlverhalten in Online-Foren und über Textnachrichten.

Zu dieser Zeit gab es einige Debatten darüber, ob Thompson ein ethischer Hacker oder eine Sicherheitsforscherin war, weil sie ungewöhnlich offen über ihre Rolle bei dem Angriff von Capital One online war – sie veröffentlichte sensible Kundendaten auf einer öffentlichen GitHub-Seite und teilte die Details von die Verletzung auf Twitter und Slack. Anfang dieses Jahres stellte das Justizministerium klar, dass es Sicherheitsforscher nicht nach dem Computer Fraud and Abuse Act strafrechtlich verfolgen würde. Aber die US-Staatsanwälte waren offensichtlich nicht davon überzeugt, dass Thompsons Handlungen unter diese Ausnahme fielen.

„Weit davon entfernt, eine ethische Hackerin zu sein, die versucht, Unternehmen bei ihrer Computersicherheit zu helfen, nutzte sie Fehler aus, um wertvolle Daten zu stehlen, und versuchte, sich zu bereichern“, sagte der US-Anwalt Nick Brown in einer Erklärung. Thompsons Anhörung zum Urteil findet am 15. September 2022 statt.

Quellenlink