Un ancien ingénieur d’Amazon Web Services (AWS) a été reconnu coupable d’avoir piraté les systèmes de stockage en nuage de clients et d’avoir volé des données liées à la violation massive de Capital One en 2019. Vendredi, un tribunal de district américain de Seattle a reconnu Paige Thompson coupable de sept chefs d’accusation de fraude informatique et électronique, un crime passible de 20 ans de prison.
Thompson, qui s’appelait également « Erratic » en ligne, a été arrêté pour avoir piraté Capital One en juillet 2019. La violation a été l’une des plus importantes jamais enregistrées, exposant les noms, dates de naissance, numéros de sécurité sociale, adresses e-mail et numéros de téléphone de plus de 100 millions de personnes aux États-Unis et au Canada. Capital One a depuis été condamné à une amende de 80 millions de dollars pour avoir prétendument omis de sécuriser les données des utilisateurs et réglé avec les clients concernés pour 190 millions de dollars.
UN communiqué de presse du ministère de la justice (DOJ) déclare que Thompson a développé un outil qui scanne AWS à la recherche de comptes mal configurés, puis exploite ces comptes pour accéder aux systèmes de Capital One et à des dizaines d’autres clients AWS. Les procureurs affirment également que Thompson a « piraté » les serveurs des entreprises pour installer un logiciel d’extraction de crypto-monnaie qui transférerait tous les revenus vers son portefeuille crypto personnel. Elle s’est ensuite « vantée » de ses méfaits dans les forums en ligne et par SMS.
À l’époque, il y avait un débat sur la question de savoir si Thompson était un pirate éthique ou un chercheur en sécurité en raison de sa franchise inhabituelle à propos de son rôle dans l’attaque de Capital One en ligne – elle a publié les données sensibles des clients sur une page publique GitHub et a partagé les détails de la brèche sur Twitter et Slack. Plus tôt cette année, le ministère de la Justice a clairement indiqué qu’il ne poursuivrait pas les chercheurs en sécurité en vertu de la loi sur la fraude et les abus informatiques. Mais les procureurs américains n’étaient évidemment pas convaincus que les actions de Thompson relevaient de cette exception.
« Loin d’être une hacker éthique essayant d’aider les entreprises avec leur sécurité informatique, elle a exploité les erreurs pour voler des données précieuses et a cherché à s’enrichir », a déclaré l’avocat américain Nick Brown dans un communiqué. L’audience de détermination de la peine de Thompson aura lieu le 15 septembre 2022.