Una acusación revelada el miércoles reveló que Thompson no solo robó datos de servidores mal configurados alojados en una empresa de computación en la nube, sino que también utilizó el poder de cómputo de servidores pirateados para extraer criptomonedas, una práctica comúnmente conocida como » Cryptojacking «.
Thompson, conocido en línea como «errático», fue arrestado por el FBI el 29 de julio por una violación masiva en Capital One Financial Corp que expuso la información personal de más de 100 millones de solicitantes de tarjetas de crédito en los Estados Unidos y 6 millones en Canadá.
Los datos robados incluyeron aproximadamente 140,000 números de Seguro Social y 80,000 números de cuentas bancarias vinculados a clientes de los Estados Unidos, y 1 millón de números de Seguro Social pertenecían a ciudadanos canadienses, junto con los nombres, direcciones, fechas de nacimiento, puntajes de crédito, límites de crédito de algunos clientes. saldos, historial de pagos e información de contacto.
La policía se dio cuenta de la actividad de Thompson después de que ella publicara información relacionada con su robo de datos de Capital One en su cuenta de GitHub.
Sin embargo, un gran jurado federal acusó ayer a Thompson de un total de dos cargos, uno de fraude electrónico y otro de fraude informático y abuso, por acceder ilegalmente a datos de más de 30 otras entidades, incluido Capital One, Departamento de Justicia de EE. UU. ( DOJ) dijo .
Si bien la acusación no nombró a la compañía de computación en la nube involucrada, es muy probable que sea Amazon, ya que Thompson trabajó anteriormente para Amazon Web Services, que proporciona servicios de computación en la nube a Capital One, entre otros.
Pero también debe tenerse en cuenta que Amazon Web Services no se vio comprometido de ninguna manera ya que Thompson obtuvo acceso al servidor de la nube debido a la configuración incorrecta de Capital One y no a través de una vulnerabilidad en la infraestructura de Amazon.
La acusación tampoco proporcionó nombres de las otras 30 víctimas, pero sí describió a tres de las organizaciones seleccionadas como una agencia estatal fuera del estado de Washington, un conglomerado de telecomunicaciones fuera de los Estados Unidos y una universidad pública de investigación fuera del estado de Washington.
Los investigadores no han encontrado evidencia de que Thompson venda o difunda la información robada.
La ingeniera de software con sede en Seattle, de 33 años, permanece bajo custodia y está programada para ser procesada en la acusación en el Tribunal de Distrito de los Estados Unidos en Seattle el 5 de septiembre. Podría ser condenada a hasta 25 años de prisión.
Fuente: thehackernews.com