O enorme roubo de dados do banco Capital One Financial, com sede nos Estados Unidos, informado nesta segunda-feira (30), parece ter sido um ataque simples, feito por apenas uma hacker - lançando dúvidas sobre a segurança do sistema financeiro e alertas sobre as ameaças aos servidores na nuvem.
A razão por trás do roubo e seu impacto ainda não ficaram claros, um dia depois de agentes do FBI prenderam a hacker de 33 anos, acusada de roubar dados de mais de 100 milhões de pedidos de cartão de crédito do décimo maior banco dos EUA.
"A maior surpresa é a natureza afetiva do ataque", disse John Dickson, do consultor de segurança Denim Group. Dickson considerou "completamente estranho" que um único invasor conseguisse acessar tantas informações de uma das maiores instituições financeiras dos EUA, acrescentando que o caso "poderia ter um grande impacto na confiança do sistema bancário".
As autoridades americanas explicaram que Thompson, ex-funcionária da Amazon Web Services, foi presa após se exibir pelo roubo em sites como GitHub, Twitter e Slack.
Professor de ciências da computação da Universidade de Pace, Darren Hayes disse que a capacidade de prender tão rapidamente o invasor neste tipo de roubo é estranha.
"A maioria desses casos são cometidos por hackers em outros países", garantiu.
- Serviços internos -
Hayes acrescentou que o incidente destaca o risco de ataques internos, cometidos por funcionários.
"É um desafio encontrar os mocinhos que tomaram o caminho errado, então, muitos bancos estão tentando fazer isso" com ferramentas de inteligência artificial que detectam anomalias no comportamento dos funcionários, disse Heyes.
Capital One, o quinto maior emissor de cartões de crédito bancários dos Estados Unidos, disse em um comunicado que tinha determinado que um estranho teve acesso não autorizado a sua rede. A "hacker" usou informações pessoais de quem tinha pedido produtos relacionados com cartões de crédito bancários, ou queriam obter cartões de crédito.
Cerca de 100 milhões de cidadãos americanos e quase seis milhões de canadenses foram afetados, disse a firma, embora tenha detalhado que "não foi roubado nenhum número de conta de cartão de crédito, ou informação para se conectar a contas bancárias", e que "99% dos números de previdência social não foram comprometidos".
As informações obtidas ilegalmente pertencem a pessoas e a pequenas empresas que se conectaram com a Capital One entre 2005 e o começo de 2019. Elas vão de nomes, endereços, telefone, e-mail e datas de nascimento até declaração de imposto de renda.
A invasora, que aproveitou uma falha em um servidor na nuvem do Capital One, também obteve dados parciais sobre titulares de cartões de crédito, como histórico de pagamentos, saldo atual e como entrar em contato.
"É pouco provável que a informação roubada tenha sido utilizada para cometer fraude, ou que tenha sido divulgada", disse a Capital One, que prometeu continuar as investigações.
A entidade financeira disse que o roubo de dados ocorreu entre 12 de março e 17 de julho deste ano e que interrompeu a intrusão em 19 de julho, dois dias depois de ser alertada por um usuário do site GitHub.
- Cinco anos de prisão -
Thompson, moradora de Seattle, foi presa pelo FBI em relação com o caso.
"O Capital One informou imediatamente às autoridades pertinentes sobre o roubo de dados, o que permitiu ao FBI rastrear o intruso", explicou em um comunicado Brian Moran, representante do Departamento de Justiça (DoJ) no estado de Washington.
Thompson é suspeita de "roubar informações, inclusive pedidos de cartão de crédito, ou outros materiais do Capital One", disse o FBI.
De acordo com documentos judiciais consultados pela AFP, Thompson teria usado o pseudônimo "Errático" em conversas nas redes sociais em sites para se gabar de suas ações.
"Ela declarou nas redes sociais que tinha informações do Capital One e que admitia ter violado a lei", segundo a denúncia do FBI.
As autoridades disseram que dispositivos de armazenamento eletrônico que contêm uma cópia dos dados roubados teriam sido recuperados em sua casa na segunda-feira.
O Capital One disse que vai disponibilizar monitoramento de crédito gratuito e proteção de identidade para qualquer pessoa afetada.
"Peço desculpas sinceramente pela preocupação compreensível que este incidente deve estar causando aos afetados, e me comprometo a corrigi-lo", disse o CEO da companhia, Richard Fairbank, em um comunicado.
Thompson pode ser condenada a até cinco anos de prisão e a pagar uma multa de 250.000 dólares, se for declarada culpada do crime de fraude cibernética.
A mulher ficou sob custódia, à espera de uma audiência no fim desta semana.
A notícia do roubo de dados da Capital One ocorre depois de a agência americana de monitoramento de crédito Equifax aceitar, na semana passada, pagar até 700 milhões de dólares para resolver um incidente similar que atingiu quase 150 milhões de clientes em 2017. A multa foi a maior da história por um caso de roubo de dados.