Бывшая сотрудница Amazon Web Services, 36-летняя Пейдж Томпсон (Paige Thompson) была признана виновной в совершении взлома облачных серверов американской банковской холдинговой компании Capital One Financial Corp и краже персональных данных более 100 млн человек, совершённой почти три года назад. Томпсон до 2016 года работала в софтверном гиганте на позиции инженера.
Присяжные Окружного суда США в Сиэтле признали Томпсон виновной в семи федеральных преступлениях, включая мошенничество с использованием электронных средств связи, за которое можно получить до 20 лет тюремного заключения. По другим пунктам, включая обвинение в незаконном доступе к защищённому компьютеру и повреждение защищённого компьютера, предусмотрено наказание в виде лишения свободы на срок до пяти лет. Вместе с тем присяжные признали ее невиновной в мошенничестве с использованием устройств доступа и краже личных данных при отягчающих обстоятельствах.
По утверждению прокуратуры, Томпсон, работавшая под ником «erratic» (чудак), создала инструмент для поиска неправильно настроенных учётных записей на AWS. Это позволило ей взломать аккаунты более 30 клиентов AWS, включая Capital One, получив доступ к их данным. Кроме того, Томпсон использовала доступ к некоторым серверам для майнинга криптовалюты, которая поступала в её собственный криптокошелёк. Окончательный приговор Томпсон будет вынесен окружным судьёй США Робертом С. Ласником (Robert S. Lasnik) 15 сентября.
Источник изображения: Pixabay
Данный инцидент выдвинул на передний план вопрос ответственности за безопасность облака и проблему неправильных конфигураций. Было установлено, что Capital One проявила халатность, оставив конфиденциальные финансовые данные в открытом доступе, что привело к штрафу в размере $80 млн. Кроме того, урегулирование судебных исков клиентов обошлось компании в $190 млн. В недавнем отчёте компания по безопасности Rapid7 отметила, что нарушения, связанные с неправильными конфигурациями облака, продолжают происходить с «удручающей частотой».
Исследователи предупредили, что скорее всего найдётся тот, кто ежедневно активно занимается поиском неверных конфигураций облачных сервисов. «При наличии правильных инструментов для любого умеренно сообразительного человека почти тривиален масштабный поиск таких брешей в облаке, и им даже не нужно специально нацеливаться на вашу организацию, чтобы обнаружить эту непреднамеренную неправильную конфигурацию, которая в конечном итоге раскрывает конфиденциальные данные», — отмечено в исследовании.
Поэтому исследователи предлагают предприятиям выделять ресурсы для обеспечения облачной безопасности, включая планирование безопасных и отказоустойчивых конфигураций и автоматизированных процессов для отслеживания ошибок и упущений. В 2020 году отмечалось, что ущерб от неправильной настройки облаков составил $5 трлн. Сейчас эта сумма может быть значительно больше.
Источник:
