Capital One

El FBI ha detenido a una ingeniera de sistemas acusada de la grave intrusión informática al banco Capital One tras explotar una vulnerabilidad del firewall instalado en sus servidores.

La acusada es una antigua empleada de Amazon Web Services y aunque el servicio en nube de Amazon alojó datos de Capital One, se descarta que el acceso se produjera por una vulnerabilidad o violación de AWS.

Se cree que la detenida (bajo cargos de fraude informático que la pueden llevar cinco años a la cárcel) explotó una vulnerabilidad y una configuración deficiente en el cortafuegos de los servidores del banco. Las consecuencias fueron letales y otro grave suceso que añadir a la colección de robo de datos de grandes empresas.

Capital One confirmó la intrusión y dijo que afectó a unos 100 millones de personas y empresas en Estados Unidos y 6 millones más en Canadá. La información personal robada incluía nombres, fechas de nacimiento, direcciones, números de teléfono y direcciones de correo electrónico. También se obtuvieron números de seguridad social de 140.000 personas unos 80.000 números de cuentas bancarias.

«Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió», dijo en un comunicado Richard D. Fairbank, fundador, presidente y CEO de Capital One. «Pido disculpas sinceramente por la preocupación comprensible que este incidente debe estar causando a los afectados, y estoy comprometido a corregirlo». Aunque la responsable es -como no- la ciberdelincuente, es preocupante un fallo de seguridad tan grave en un banco.

Según la información, un comando ejecutado en el cortafuegos permitió a la intrusa obtener credenciales para una cuenta de administración. El comando, a su vez, permitió el acceso a los datos bancarios almacenados bajo contrato por una empresa de computación en la nube que aunque no fue nombrada en los documentos judiciales, The New York Times y Bloomberg identificaron como AWS.

Otros comandos permitieron a la atacante acceder a las carpetas de Capital One almacenadas en AWS y copiar sus contenidos. Aunque usó una VPN de IPredator y Tor en un intento de cubrir sus huellas, fue pillada tras alardear del hack en foros en línea y subir código en GitHub, lo que la relacionó con el ciberataque. 

Capital One, con sede en McLean, Virginia, ha sido uno de los principales defensores del uso de servicios en la nube en el sector bancario. Lleva años migrando un porcentaje cada vez mayor de sus aplicaciones y datos a la nube y planea eliminar centros de datos propios para finales de 2020. Aunque la investigación preliminar del ciberataque parece descartar cualquier tipo de vulnerabilidad en AWS, se desconoce si la detenida usó para el ataque conocimientos previos como ingeniera de sistemas en el gigante del comercio electrónico.

Actualización:

Capital One ha publicado una nota sobre el incidente aclarando que la intrusión aprovechó una vulnerabilidad en su infraestructura y que no tiene relación con sus operaciones en la nube. Es decir, no se trató de una vulnerabilidad ni violación en AWS como hemos comentado al comienzo del artículo:

  • «Creemos que un individuo altamente sofisticado pudo explotar una vulnerabilidad de configuración específica en nuestra infraestructura. Cuando lo descubrimos, abordamos de inmediato la vulnerabilidad en la configuración y verificamos que no había otras instancias en nuestro entorno».
  • Este tipo de vulnerabilidad no es específica de la nube. Los elementos de infraestructura involucrados son comunes a los entornos de centros de datos en la nube y locales. Nuestro modelo operativo en la nube permitió la velocidad con la que pudimos diagnosticar y corregir esta vulnerabilidad y determinar su impacto».

Fuente:https://www.muyseguridad.net