Cómo el hacker Capital One acusado robó una gran cantidad de datos de la nube

La mujer que supuestamente logró uno de los mayores robos de datos bancarios parece haber explotado una vulnerabilidad en la nube que los expertos en seguridad han advertido durante años.

Paige A. Thompson, ex empleada de

            Amazon.com
Cía.

AMZN -1,73%

La unidad de computación en la nube que fue arrestada el 29 de julio, está acusada de llevar a cabo el robo masivo de 106 millones

            Capital One Financial
Corp.

COF -1,16%

archivos.

Capital One ha dicho que "una vulnerabilidad de configuración específica" condujo a la pérdida de datos.

Paige A. Thompson, que se muestra en su foto de perfil en pipí, fue acusada de fraude y abuso informático.

La Sra. Thompson supuestamente pudo encontrar una apertura en los sistemas de Capital One y explotar una debilidad en algunas redes mal configuradas, según un análisis del Wall Street Journal de cientos de mensajes en línea de la Sra. Thompson y entrevistas con personas familiarizadas con la investigación. Los profesionales de seguridad durante años han advertido sobre esa brecha, que los mensajes y las entrevistas sugieren que ella usó para engañar a un sistema en la nube para descubrir las credenciales confidenciales que necesitaba para acceder a la gran cantidad de registros de clientes.

Thompson, en mensajes en línea en cuentas que los fiscales han dicho que eran suyas, afirmó que también aplicó esas técnicas para acceder a una gran cantidad de datos en línea de otras organizaciones. Los mensajes fueron publicados en foros en línea.

El abogado de la Sra. Thompson no respondió a las solicitudes de comentarios. Ella permanece detenida y está programada para una audiencia de fianza el 15 de agosto.

En el corazón del robo digital estaba la aparente capacidad de la Sra. Thompson de aprovechar una pieza central de la tecnología de nube de Amazon conocida como su servicio de metadatos. Contiene las credenciales y otros datos necesarios para administrar servidores en la nube. Las credenciales son efectivamente el equivalente del mundo informático a las claves de una bóveda bancaria.

En el primer paso de su presunto hack que comenzó en marzo, de acuerdo con sus publicaciones en línea, Thompson realizó un análisis de Internet para encontrar computadoras vulnerables que pudieran darle acceso a las redes internas de una empresa. Efectivamente, llamó a muchas puertas delanteras para buscar las que estaban desbloqueadas.

En el caso de Capital One, descubrió que una computadora que administraba las comunicaciones entre la nube de la compañía y el Internet público estaba mal configurada, efectivamente tenía configuraciones de seguridad débiles, según personas familiarizadas con la investigación. La puerta estaba abierta.

A través de esa apertura, pudo solicitar con éxito las credenciales necesarias para encontrar y leer los datos almacenados en la nube de Capital One desde un sistema en la nube de Amazon, llamado servicio de metadatos, donde se almacena esa información, dijeron las personas.

"Amigo, mucha gente lo está haciendo mal", dijo Thompson en un mensaje en línea del 27 de junio, refiriéndose a cómo algunas compañías estaban configurando incorrectamente sus servidores.

Una vez que encontró los datos de Capital One, pudo descargarlos, dijeron personas familiarizadas con la investigación. Todo, aparentemente, sin activar ninguna alerta.

Comparte tus pensamientos

¿Ha tomado alguna medida preventiva en caso de que su banco sea pirateado? ¿Cuáles? Únete a la conversación a continuación.

Amazon dijo en un comunicado que ninguno de sus servicios, incluido el servicio de metadatos, fue la causa subyacente del robo y que ofrece herramientas de monitoreo diseñadas para detectar este tipo de incidente.

No está claro por qué ninguna de estas herramientas de alerta parece haber activado las alarmas en Capital One.

Una declaración jurada de la Oficina Federal de Investigaciones dijo que un error de Capital One permitió la violación. Capital One dijo que ahora ha solucionado el problema de configuración.

Algunos expertos en seguridad dicen que Amazon debería hacer más para alertar a sus clientes sobre estos errores de configuración. Otros dicen que, dado que la seguridad en la nube es una responsabilidad compartida, los clientes corporativos tienen que hacer su parte.

Amazon ha dicho que tiene varias herramientas para ayudar a mitigar los errores de configuración.

Los fiscales han dicho que la Sra. Thompson comenzó a piratear el 12 de marzo, pero Capital One no se enteró hasta que un investigador externo lo alertó 127 días después.

Dentro de un truco

El Wall Street Journal trazó la supuesta ruta del hacker acusado Paige Thompson para obtener datos de Capital One almacenados en la nube.

Acceso a la red Capital One en AWS

La Sra. Thompson puede acceder al servicio de metadatos a través de un firewall mal configurado.

Entonces puede usar las ‘credenciales‘ de

el servicio de metadatos para buscar y descargar los datos de Capital One.

Los profesionales de seguridad conocen uno de estos problemas de configuración errónea, la capacidad de robar credenciales del servicio de metadatos, desde al menos 2014, dijo Scott Piper, quien asesora a las empresas sobre su seguridad en la nube de Amazon. Amazon ha considerado que es responsabilidad del cliente erradicarlos, dijo, y algunos clientes no lo han hecho.

Brennon Thomas, un investigador de seguridad, realizó un análisis de Internet en febrero y encontró más de 800 cuentas de Amazon que permitían un acceso similar al servicio de metadatos. El servicio de computación en la nube de Amazon cuenta con más de un millón de usuarios.

Thomas dijo que el problema de los servidores mal configurados que permiten a los extraños acceder a metadatos confidenciales no se limita a Amazon Web Services o AWS. Su prueba también encontró problemas con los sistemas que se ejecutan en

            Microsoft
Corp.

La nube Microsoft no respondió a las solicitudes de comentarios.

Que Capital One fue una víctima ha sorprendido a algunos investigadores. El banco realizó una exhaustiva diligencia debida antes de decidir, en 2015, adoptar la nube, dijeron funcionarios de la compañía. "Capital One es bien conocido entre las personas que hacen seguridad en la nube por tener uno de los equipos más fuertes que existen", dijo Piper.

La violación de datos de Capital One no es la primera vez que se roban los datos almacenados en la nube. Pero el hecho de que el quinto mayor emisor de tarjetas de crédito de EE. UU. Se haya convertido en una víctima está reviviendo las preocupaciones sobre la computación en la nube. Capital One fue uno de los primeros en adoptar la computación en la nube y se presenta como un estudio de caso en el sitio web de AWS.

La casa de Paige Thompson

Foto:

Ted S. Warren / Associated Press

La Reserva Federal, independiente del ataque, ya ha estado analizando el uso de la nube para almacenar registros financieros confidenciales, informó el Journal.

La Sra. Thompson, en una publicación de una de las cuentas que los fiscales dijeron que era suya, insinuó que usó tales técnicas para apuntar a las cuentas de computación en la nube de otras compañías, incluido el banco italiano

            UniCredit
            

      SpA y

            Ford Motor
Co.

Ambas compañías han dicho que lo están investigando. El FBI ha abierto una investigación sobre los otros objetivos que sospecha que la Sra. Thompson podría haber alcanzado.

Las supuestas acciones de la Sra. Thompson podrían haber pasado desapercibidas durante mucho más tiempo si no hubiera publicado detalles de su pirateo en línea.

Escribir a Robert McMillan en [email protected]

Copyright © 2019 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.