Банк Capital One оштрафован на $80 млн за неспособность защитить данные

Американский банк Capital One оштрафован на $80 млн за неспособность защитить данные клиентов решением Управлением контролера денежного обращения (OCC) при Минфине США 6 августа, сообщает портал ИТ-новостей ZDNet.

«OCC предпринял эти действия, основываясь на неспособности банка установить эффективные процессы оценки рисков до переноса значительного количества информационных операций в среду общедоступного облака, а также на неспособности банка своевременно исправить недостатки», — заявили в OCC.

Capital One оштрафован в связи с утечкой данных 106 млн граждан США и Канады в июле 2019 года вскоре после переноса банковских данных в облако Amazon Web Services (AWS).

Напомним, 19 июля 2019 года стало известно об утечке значительного объема персональных данных клиентов Capital One. Сама кража данных, предположительно, произошла в конце марта 2019 года.

Бывший сотрудник AWS 33-летняя жительница Сиэтла Пейдж Томпсон воспользовалась уязвимостью, связанной с небезопасной конфигурацией межсетевого экрана, для кражи данных компании. Как в дальнейшем стало известно в ходе расследования инцидента, Томпсон также имела доступ к облачным данным еще 30 компаний.

Под псевдонимом Erratic бывшая сотрудница AWS упомянула компрометацию данных Capital One в комментариях на веб-хостинге ИТ-проектов GitHub. 17 июля на данный комментарий обратил внимание один из пользователей и уведомил об этом банк.

Capital One подвергся острой критике пользователей Интернета, а также СМИ в связи с тем, что не смог выявить несанкционированный доступ и загрузку данных, а также за хранения конфиденциальной информации в незашифрованном виде в публичном облаке.