La fuite de Capital One découverte grâce à un courriel

La banque américaine Capital One aurait été informée du vol de données touchant 106 millions de ses clients par une personne externe qui l’aurait prévenue par courriel. Le lanceur d’alerte serait ainsi tombé sur certains détails du piratage sur GitHub, un réseau populaire chez les programmeurs informatiques.

Une plainte au criminel a été déposée contre Paige A. Thompson, une ancienne ingénieure informatique suspectée dans cette affaire, l’accusant de fraude et d’abus informatique. Dans cette plaine, il est mentionné que Capital One a su avoir été piratée uniquement parce que quelqu’un l’a prévenue.

Selon le ministère de la Justice, une personne a envoyé un courriel à la banque le 17 juillet disant : « Il semble y avoir des données S3 divulguées dans le Github de quelqu’un », selon les informations de Business Insider.

Le S3 fait référence au produit de stockage dans le cloud d’Amazon Web Services destiné aux développeurs, utilisé par Capital One pour stocker les données volées.

Selon la plainte, Capital One aurait contacté le ministère de la Justice deux jours plus tard, soit le 19 juillet, pour signaler l’infraction.

UNE PIRATE TROP BAVARDE

L’enquête déposée par le FBI au tribunal explique que Paige A. Thomson a exploité une faille dans le pare-feu qui protégeait les serveurs informatiques de l’entreprise hébergeant les données. La pirate aurait ainsi pu accéder à des demandes de carte de crédit où l’on retrouvait notamment des renseignements personnels et le numéro d’assurance sociale des demandeurs, révèle La Presse.

Il faut savoir que le service d’hébergement de données appartenait à Amazon, entreprise pour laquelle Paige A. Thomson a travaillé en tant qu’ingénieure informatique de 2015 à 2016. Elle était donc certainement au fait du fonctionnement interne de l’entreprise.

Si la coupable avait pris toutes les précautions pour ne pas être attrapée, c’est son besoin de reconnaissance qui l’a trahie. Effectivement, la pirate se serait vantée de ses actions sur plusieurs plateformes d’échanges et de discussions, comme Twitter, Slack et Github, où elle était inscrite sous son vrai nom.

Sur sa page Github, elle aurait même publié une partie des renseignements dérobés à la banque américaine. C’est cette publication qui a été transmise par un usager à l’institution financière qui a ensuite alerté le ministère de la Justice.

DES PROBLÈMES MENTAUX

La jeune femme, connue également sous le pseudo « Erratic », n’était pas riche puisque le juge, constatant qu’elle n’avait pas les ressources financières pour s’offrir un avocat, lui a donné accès à l’aide juridique.

Sur internet, elle mentionnait parfois ses problèmes de santé mentale, selon le New York Times. Elle aurait ainsi évoqué la possibilité d’entrer dans un établissement pour être soignée.

« J’ai toute une liste de choses qui vont assurer mon isolement involontaire du monde. Le genre de choses qu’ils ne pourront pas ignorer ou envoyer à la clinique de crise. Je ne reviendrai jamais », aurait-elle écrit récemment.