Paige Thompson, uma engenheira informática de Seattle, roubou dados de 106 milhões de clientes da empresa bancária norte-americana Capital One, de acordo com o Departamento de Justiça dos Estados Unidos. A confirmar-se a suspeita, é uma das maiores invasões de dados bancários da história.
A Capital One – uma empresa gestora de participações bancárias nos Estados Unidos e no Canadá, especializada na prestação de cartões de crédito, empréstimos para compra de automóveis e contas poupança – detetou o acesso no dia 19 de julho e notificou prontamente as autoridades. Apesar de uma queixa-crime do Departamento de Justiça sugerir o contrário, a Capital One acredita que não houve tentativa de fraude, nem que a informação tenha sido partilhada ou propagada pela hacker.
Tanto as autoridades como a empresa asseguram que foram extorquidos ‘apenas’ 140 mil números de segurança social e de 80 mil contas bancárias, nos Estados Unidos. Já no Canadá (onde 6 milhões pessoas foram afetadas), a engenheira teve acesso a cerca de um milhão de números de contas bancárias e da segurança social dos clientes da Capital One. Segundo a empresa e as autoridades, mais de 99% dos números de segurança social dos clientes não foram afetados.
Contudo, Thompson conseguiu aceder a outras informações: nomes dos clientes, moradas, códigos postais, números de telefone, endereços eletrónicos, datas de nascimento, rendimentos declarados, histórico de pagamentos e a saldos de conta. Nem o Departamento de Justiça nem a Capital One confirmaram a quantidade de clientes cuja informação foi roubada.
Thompson, de 33 anos, trabalhava para a Amazon Web Services, uma plataforma de serviços cloud, que armazena os dados da Capital One. Curiosamente, não era tímida em relação à sua atividade como hacker, nem foi muito discreta em relação ao assunto.
A engenheira era uma das organizadoras de um grupo do Meetup – aplicativo para organizar eventos – que procurava juntar “qualquer pessoa que aprecie sistemas de processamento, programação, hacking e cracking”. No respetivo grupo, escreveu ter a intenção de organizar uma “noite de hack”. Não foi muito difícil para o FBI notar a sua presença no Meetup, usando-a para rastrear a sua atividade na internet, conseguindo vinculá-la ao roubo de dados aos clientes da Capital One através de publicações no Twitter e no aplicativo Slack.
“Amarrei-me a um colete bomba”, escreveu Thompson no Slack, “admitindo” a invasão dos dados por ter publicado uma fotografia de uma fatura sua nas redes sociais. Com isto, o FBI invadiu a sua casa e apreendeu todos os seu dispositivos digitais, obtendo alguns arquivos que faziam referência à Capital One e a outras entidades que podem ter sido alvo da hacker.
Segundo o agente do FBI que investigou o caso, Thompson teve acesso aos dados através de um defeito na configuração do firewall de uma aplicação da Capital One. Tal imperfeição permitiu à hacker explorar o servidor onde a empresa armazena a sua informação, conseguindo, assim, obter os arquivos dos clientes.
O presidente executivo da Capital One, Richard Fairbank, lamentou o sucedido através de um comunicado da empresa: “Dou as minhas sinceras desculpas pela compreensível preocupação que este incidente deve ter causado aos afetados e estou empenhado a fazer as correções necessárias”.
No documento a explicar o incidente, a empresa promete que irá notificar os clientes que tiveram a sua informação roubada e que disponibilizará a fiscalização do crédito e a proteção de identidade de forma gratuita. Algo que, de acordo com a Capital One, terá um custo avaliado em 150 milhões de dólares.