Een van de grootste hacks van een bank ooit ter wereld vond deze week plaats bij de Amerikaanse bank Capital One. Van zeker 100 miljoen Amerikaanse en zes miljoen Canadese klanten van de bank zijn zowel persoonlijke data als betaalgegevens buitgemaakt.
De hack vond al plaats in maart maar werd onlangs pas ontdekt. Het is inmiddels gedicht volgens Capital One. Onderliggende systeem zouden niet zijn aangetast.
Niet alleen betaalgegevens zijn bij de hack buitgemaakt. Zo zijn de BSN-nummers van ruim een miljoen Canadezen en in elk geval 140.000 Amerikanen ook buitgemaakt. Daarin zijn ook allerlei persoonlijke gegevens buitgemaakt van zowel kleine bedrijven als consumenten. Ze gaan over de periode van 2005 tot in dit jaar. De hack was in maart en werd onlangs ontdekt.
Inlogdata veilig
Capital One heeft de hack inmiddels toegegeven in een persbericht. Zij stellen daarbij wel dat nummers van creditcards, pincodes en inlogdata nog steeds veilig zijn en dus niet door de hackers zijn buitgemaakt.
De bank, die hoort tot de top tien van grootste commerciële banken in de Verenigde Staten is ervan overtuigd dat de gegevens die wel zijn buitgemaakt niet zijn gebruikt voor kwade doeleinden. De bank noemt de verdachte, die inmiddels is opgepakt en vast zit, ‘zeer kundig’.
Het gaat om data op een cloudserver van Amazon Web Services stonden. AWS zelf was daarbij niet gecompromitteerd. De hacker heeft toegang gekregen door een verkeerde configuratie van de webapplicatie en niet door de onderliggende cloudgebaseerde infrastructuur.
De 33-jarige verdachte, Paige Thompson, was een voormalig medewerker. Gisteren werd ze opgepakt in de Amerikaanse stad Seattle. Bij verhoor bleek dat ze een veiligheidslek in de webapp had gebruikt.
Opscheppen
Thompson werd onder andere opgespoord omdat ze online opschepte over haar hack. Onder de handle ‘erratic zou ze op Twitter niet alleen haar daden hebben geroemd, maar ook de bank voor de hack bedreigd hebben.
Als de rechter donderdag vindt dat de verdachte schuldig is, kan ze zeker vijf jaar cel krijgen met daar bovenop een boete van 250.000 dollar.
Capital One heeft de getroffen klanten inmiddels excuses gemaakt. Richard Fairbank stelde in een verklaring dat het hem enorm spijt. “Ik ben dankbaar dat de dader is gepakt, maar het spijt mij enorm.”
AP
In Nederland houdt de Autoriteit Persoonsgegevens een wakend oog op de veiligheid en privacybeleid van banken. Zo werden deze lente banken op de vingers getikt om gepersonaliseerde aanbiedingen die klanten zouden krijgen op basis van hun betaalgegevens.
De Autoriteit Persoonsgegevens (AP) roept alle banken daarom op om goed te kijken naar hun beleid rond direct marketing. De privacywaakhond is van mening dat deze praktijken in strijd zijn met de Algemene verordening gegevensbescherming (AVG).
Het AP schrijft de brief naar aanleiding van veel bezorgde reacties op het bericht van vorige maand dat ING betaalgegevens wil gebruiken voor reclame. Veel bezorgde klanten belden en mailden de afgelopen weken met de privacywaakhond.
