Internet Home Page Bringing True Journalism Without Fake News Kesalahan Konfigurasi Menyebabkan Kebocoran Seratus Juta Catatan Keuangan

Kesalahan Konfigurasi Menyebabkan Kebocoran Seratus Juta Catatan Keuangan

by Hairiman

Menurut pernyataan Capital One yang dirilis pada 19 Juli, pihak yang tidak berwenang mendapatkan akses ke data pelanggan perusahaan: sekitar 106 juta orang di Amerika Serikat dan Kanada. Data disimpan dalam ember Amazon S3 tetapi diakses menggunakan infrastruktur Capital One. Capital One mengakui bahwa itu adalah kesalahan konfigurasi firewall aplikasi web yang memungkinkan penyerang memperoleh kredensial yang sesuai dan menggunakan perintah tertentu untuk mendapatkan data. Namun, bukti dugaan menunjukkan bahwa itu karena Pemalsuan Permintaan Sisi Server .

Kebocoran

Informasi yang bocor berkaitan dengan konsumen dan usaha kecil yang mengajukan kartu kredit Capital One dari 2005 hingga 2019. Termasuk informasi pribadi seperti nama, alamat, kode pos, nomor telepon, alamat email, tanggal lahir, dan pendapatan yang dilaporkan sendiri . Kebocoran tersebut juga mencakup beberapa data pelanggan kartu kredit, misalnya skor kredit, batas kredit, saldo, riwayat pembayaran, dan informasi kontak, serta sekitar 140.000 nomor Jaminan Sosial dan 80.000 nomor rekening bank yang ditautkan.

Beberapa informasi yang diakses tidak lama tersedia melalui akun publik di GitHub. Namun, ruang lingkup kebocoran tidak diketahui. Pada saat ini, tidak diketahui apakah penyerang membagikan lebih banyak informasi melalui saluran lain dengan pihak ketiga mana pun.

Peretasan

Pada 29 Juli, polisi Seattle menangkap Paige Thompson yang berusia 33 tahun, memiliki bukti yang jelas bahwa ia bertanggung jawab atas peretasan tersebut. Thompson sebelumnya adalah seorang insinyur yang bekerja untuk Amazon (dari Mei 2015 hingga September 2016).

Menurut catatan pengadilan , peretasan disebabkan oleh kesalahan konfigurasi aplikasi web firewall (WAF), yang mengizinkan perintah untuk mencapai server dan dieksekusi. Thompson seharusnya berhasil mendapatkan kredensial keamanan untuk peran WAF yang memungkinkannya mengakses folder bucket S3 Amazon. Ini, pada gilirannya, membiarkan dia daftar konten ember dan mengunduh (menyinkronkan) data. 

Tidak jelas apa kesalahan konfigurasi keamanan itu. Beberapa komentator menyatakan bahwa itu adalah eksploitasi SSRF – WAF bisa saja menerima nilai parameter yang kemudian digunakan untuk mengekspos kredensial IAM melalui layanan metadata EC2. Sayangnya, Capital One (tidak seperti Cloudflare ) tidak mengungkapkan rincian kesalahan konfigurasi yang memungkinkan kebocoran.

Thompson menggunakan dua mekanisme untuk menutupi jejaknya: TOR dan IPredator VPN. Kedua metode ini akan membuatnya sangat sulit diidentifikasi. Sial baginya, tindakan Thompson selanjutnya membuat identitasnya benar-benar jelas. Pertama-tama, dia membual tentang peretasan pada saluran Slack publik tanpa mengaburkan IP-nya. Dia juga menyebutkan bahwa dia menggunakan TOR dan IPredator. Kedua, dia menempatkan data pada akun GitHub yang terdaftar atas namanya sendiri.

Thompson dihubungi oleh salah satu kenalannya yang mengetahui data di GitHub dan, kemungkinan besar, melakukan kontak dengannya melalui saluran Slack publik. Pihak anonim mengirim pesan Capital One menawarkan bantuan untuk melacak hacker.

Motifnya

Capital One tidak percaya bahwa Thompson memiliki niat jahat dan bermaksud mencuri dari klien perusahaan. Sebagian besar fakta menunjukkan bahwa peretasan adalah upaya untuk mencari perhatian. Mungkin, itu bisa dikaitkan dengan pekerjaan masa lalunya dengan Amazon.

Perilaku publik Thompson juga menunjukkan bahwa dia sangat bermasalah . Kicauannya menyatakan keinginan untuk dideportasi (mungkin karena perlakuan buruk baru-baru ini terhadap waria di AS), dan bahkan keinginan untuk bunuh diri yang dibantu secara medis di Denmark. Dia tampak dalam kesedihan setelah kehilangan hewan peliharaan dan deportasi mitra Yunani-nya. Ini mungkin juga menjelaskan perilaku tidak menentu yang menyebabkannya mudah diidentifikasi.

You may also like

Leave a Comment