El perpetrador fue arrestado por la policía federal y la compañía cree que no volverá a suceder una vulnerabilidad así.
***
Capital One Financial Corporation (NYSE: COF) anunció ayer que el 19 de julio de 2019 determinó que había un acceso no autorizado por parte de una persona externa que obtuvo información personal relacionada a las personas que habían solicitado sus productos de tarjeta de crédito y a los clientes de la tarjeta de crédito Capital One.
Hacker arrestado
Capital One indica que solucionó la vulnerabilidad de configuración que este individuo explotó y rápidamente comenzó a trabajar con la policía federal. El FBI arrestó a la persona responsable y esa persona está bajo custodia.
Según el análisis de la compañía hasta la fecha, cree que “es poco probable que la información haya sido utilizada para fraude o difundida por esta persona. Sin embargo, continuaremos investigando”.
“Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió”, dijo Richard D. Fairbank, presidente y director ejecutivo, quien pidió disculpas a los afectados.
Según el análisis de Capital One hasta la fecha, este evento afectó a aproximadamente 100 millones de personas en los Estados Unidos y aproximadamente 6 millones en Canadá.
Capital One añade que ningún número de cuenta de tarjeta de crédito o credenciales de inicio de sesión se vieron comprometidos y más del 99 por ciento de los números de Seguridad Social no se vieron comprometidos.
Un millón de afectados directos
Sin embargo, un 1% ya tiene un significado enorme: Si hablamos de un universo de 106 millones de personas vulneradas, el 1 % es poco más de un millón de afectados directos, es decir, cuyos datos de sesión sí se vieron comprometidos.
Aclara Capital One que la mayor categoría de información a la que se accedió el hacker fue “información sobre consumidores y pequeñas empresas desde el momento en que solicitaron uno de nuestros productos de tarjetas de crédito desde 2005 hasta principios de 2019”.
Esta información incluía información personal que Capital One recopila habitualmente en el momento en que recibe solicitudes de tarjetas de crédito, incluidos nombres, direcciones, códigos postales / códigos postales, números de teléfono, direcciones de correo electrónico, fechas de nacimiento e ingresos autoinformados.
Más datos comprometidos
Más allá de los datos de la solicitud de tarjeta de crédito, el hacker también obtuvo porciones de datos de clientes de tarjetas de crédito, que incluyen:
- Datos del estado del cliente, por ejemplo, puntajes de crédito, límites de crédito, saldos, historial de pagos, información de contacto
- Fragmentos de datos de transacciones de un total de 23 días durante 2016, 2017 y 2018
Se comprometieron algunos números de Seguro Social y de cuentas bancarias de clientes de Estados Unidos:
- Cerca de 140.000 números de Seguro Social de los clientes de tarjetas de crédito
- Alrededor de 80.000 números de cuentas bancarias vinculadas de nuestros clientes de tarjetas de crédito aseguradas
En relación a los clientes de tarjetas de crédito canadienses, aproximadamente 1 millón de números de seguro social se vieron comprometidos en este incidente.
La compañía se comprometió a notificar a las personas afectadas a través de una variedad de canales. “Pondremos a disposición de todos los afectados el monitoreo de crédito gratuito y la protección de identidad”.
El problema de la falta de ciberseguridad
¿Cómo sucedió esto a una compañía con tamaña cantidad de clientes? Si bien la empresa pide disculpas y destaca hacer invertido mucho en ciberseguridad, la vulnerabilidad que afectó a tal cantidad de clientes parece desmentirla. La empresa sostiene que incorporará “los aprendizajes de este incidente para fortalecer aún más nuestras defensas cibernéticas”. Sin embargo, no haberlo hecho antes ha dejado en total riesgo a más de 1 millón de personas de forma directa y a 106 millones de forma tangencial.
Si quiere saber más del incidente y la investigación, esta es la web: www.capitalone.com/facts2019. La investigación está en curso y el análisis está sujeto a cambios.
Algunas preguntas a la empresa
-¿Cuál fue la vulnerabilidad que condujo a este incidente?
-Creemos que un individuo altamente sofisticado pudo explotar una vulnerabilidad de configuración específica en nuestra infraestructura. Cuando se descubrió esto, abordamos de inmediato la vulnerabilidad de configuración y verificamos que no hay otras instancias en nuestro entorno. Entre otras cosas, también aumentamos nuestro escaneo automático de rutina para buscar este problema de forma continua.
¿Cómo descubrieron el incidente?
-Al igual que muchas empresas, tenemos un programa de divulgación responsable que proporciona una vía para que los investigadores de seguridad ética nos informen sobre vulnerabilidades directamente. Un investigador de seguridad externo nos informó la vulnerabilidad de la configuración a través de nuestro Programa de divulgación responsable el 17 de julio de 2019. Luego comenzamos nuestra propia investigación interna, que condujo al descubrimiento del incidente el 19 de julio de 2019.
-¿Cuándo ocurrió esto?
-El 19 de julio de 2019, determinamos que había un acceso no autorizado por parte de una persona externa que obtuvo ciertos tipos de información personal relacionada con personas que habían solicitado productos de tarjetas de crédito y clientes de tarjetas de crédito Capital One. Esto ocurrió el 22 y 23 de marzo de 2019.
Fuente: Nota de prensa de Capital One
Versión de DiarioBitcoin
Imagen de Pixabay
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.