VS klaagt hacker aan voor datadiefstal bij Capital One-bank

Het Amerikaanse Ministerie van Justitie heeft de hacker aangeklaagd die informatie van honderd miljoen Amerikanen wist te stelen bij de bank Capital One. De vrouw kan daarvoor maximaal 25 jaar celstraf krijgen.

De 33-jarige Paige Thompson wordt ervan verdacht te hebben ingebroken bij de Amerikaanse bank Capital One. Daarbij zou zij 'fragmenten van transactiegegevens' hebben weten te bemachtigen, 140.000 social security numbers en 80.000 rekeningnummers. Volgens het Ministerie van Justitie zijn er geen aanwijzingen dat Thompson die gegevens heeft doorverkocht.

Thompson wordt aangeklaagd voor computervredebreuk en 'wire fraud', financiële fraude via de computer. Vooral dat laatste is interessant. In de aanvankelijke verdenking van de FBI werd alleen nog over computervredebreuk gesproken. Daarop staat slechts vijf jaar gevangenisstraf. Nu daar fraude bij komt wordt die straf mogelijk vervijfvoudigd.

Over de aard van de hack is nog steeds niet alles bekend. Het lijkt erop dat Thompson de bankgegevens wist te benaderen omdat die op een slecht beveiligde Amazon Web Services-bucket stonden. Thompson werkte korte tijd bij Amazon en wist die beveiliging zo mogelijk te omzeilen. De FBI startte een onderzoek omdat Thompson vóór de hack al details over die slechte beveiliging op GitHub zette. Thompson zou de toegang tot de bankservers ook hebben gebruikt voor cryptojacking. Daarbij wordt malware geïnstalleerd die cryptovaluta delft met behulp van de rekenkracht van de geïnfecteerde computer.

Reacties (50)

Eonfge 29 augustus 2019 10:09

De belangrijkste zinsnede in het hele onderzoek van de FBI is misschien nog wel deze:

appears to have significant mental-health issues

Ik denk dat ontoerekeningsvatbaarheid nog wel iets kan gaan betekenen in deze zaak. Ze is duidelijk een hele competente hacker maar de informatie die naar buiten is gebracht door de openbaar aanklager wijst erop dat ze mogelijk meer baat heeft bij enige medische ondersteuning.

https://arstechnica.com/t...companies-authorities-say

Edit.
blijkt dat de American Civil Liberty Union de zaak ook op hun agenda heeft gezet. Er is nogal wat gemor over de zware aanpak die Paige Thompson nu geniet. Als verdachte van computervredebreuk wordt ze nu op de zelfde manier behandeld als een moord verdachte, en dat schiet bij de ACLU in het verkeerde keelgat.
https://www.geekwire.com/...t-ordered-remain-custody/

[Reactie gewijzigd door Eonfge op 22 juli 2024 22:16]

Armin @Eonfge • 29 augustus 2019 19:31

Als verdachte van computervredebreuk wordt ze nu op de zelfde manier behandeld als een moord verdachte,

... aldus de ACLU.

De ACLU is een lobby organisatie, die in deze context partij is. Dus het is een mening, die wellicht waar is, maar geen feit.

Federale aanklagers gaan er doorgaans altijd zeer hard in bij vrijwel elke zaak. Heel anders dan State aanklagers. Daar is al vaker kritiek op, maar is niet uniek voor deze zaak.

[Reactie gewijzigd door Armin op 22 juli 2024 22:16]

Jerie

@Eonfge • 30 augustus 2019 14:39

appears to have significant mental-health issues

Ach, die had Onze Kevin ook.

Verwijderd 29 augustus 2019 12:49

In de reacties lees ik een heleboel zaken maar ik heb het idee dat er aan een aantal fundamentele zaken wordt voorbij gegaan. Hoe je het ook bekijkt, het stelen van iets is diefstal, of je nu praat over geld, auto's of data. Je hoort hier gewoon van af te blijven. Los van of en hoe data beveiligd is, je hebt hier niets te zoeken dus afblijven. Daarnaast heeft data diefstal grote gevolgen. Met een ID of social security nummer kun je iemands leven heel eenvoudig en snel tot een echte hel maken. Je kunt eenvoudig bij financiele zaken, je kunt iemands huis ontnemen, je kunt hem zijn baan laten verliezen. Voor een ieder raadt ik aan het boekje "Komt een vrouw bij de hacker" eens te lezen en te beseffen dat diefstal van data en/of persoonsgegevens heel verstrekkende gevolgen kan hebben voor de betrokkenen. Dit is in geen geval te rechtvaardigen en dient hard te worden aangepakt. Natuurlijk moet je zorgen dat je hier niet zomaar bij kunt, maar alles is te hacken en daar moeten dan ook heel grote straffen op staan. Je zet echt het leven van de gedupeerden op zijn kop, en dat is zacht uitgedrukt. Je beseft dit pas echt als je het meemaakt. Sommige dingen komen nooit meer goed.....

ViveUtVivas @Verwijderd • 29 augustus 2019 10:13

Is niet te lang hoe zou je reageren als jouw bank miljoenen gegevens worden gehackt?
Ze heeft bovendien alle gegevens publiekelijk op Github gezet, alsmede cryptomining op de systemen laten draaien.

Verwijderd @ViveUtVivas • 29 augustus 2019 10:20

10 jaar straf als je iemand dood maakt. 25 jaar voor wat werk op een laptopje. Vind ik te gek voor woorden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:16]

ViveUtVivas @Verwijderd • 29 augustus 2019 10:22

Ja de verhouding kloppen niet de straf voor een moord is ook veel te licht/kort.

DiaZ_1986 @Verwijderd • 29 augustus 2019 10:26

Of publiekelijk toegeven dat je 'af-gesjord' was bij een massage salon om onder je 'straf' uit te komen.

glennoo @Verwijderd • 29 augustus 2019 10:23

Ik zie het zelf meer als 10 jaar straf voor het vernietigen van iemands leven (letterlijk) en 25 jaar voor het potentieel sociaal vernietigen van 140.000 levens. Niet helemaal te vergelijken natuurlijk maar je kunt iemands leven behoorlijk ruïneren met een socia security number. Erg genoeg dat deze persoon op straat beland en er waarschijnlijk ook niet meer af komt. Dit maal 140.000 vind ik toch wel een flink vergrijp.

[Reactie gewijzigd door glennoo op 22 juli 2024 22:16]

nobraininvolved @glennoo • 29 augustus 2019 11:02

moah, ik vind t een storm in een glas water...
Als ik het artikel lees (alleen wat hier staat, ben niet op zoek gegaan naar het orgineel), staat er:
- mevrouw wist dat de beveiliging niet op orde was.
- mevrouw heeft VOOR de hack hierop gewezen via Github. M.a.w. Amazon en bank hadden hier wat aan
kunnen/moeten doen.
- mevrouw maakt vervolgens gebruik van de slechte beveiilging. Waarom? Is dat mss om aan te tonen dat
het nog niet op orde is en er geen actie op ondernomen is? of vanuit kwade bedoelingen? (eea is niet
doorverkocht, dus ik ga nog even uit van het goede in de mens).
- mevrouw heeft een tooltje op de bankservers gezet waarmee cryptomunten gemined worden op het
moment dat de computer vd bank...(niet echt schadelijk, wel vervelend want de boel wordt trager).

Ik wil het niet bagatelliseren, maar ik vind 't nogal veel ophef voor vrij weinig...ik zou t anders vinden als zij de gegevens idd had doorverkocht of er zelf fraude mee had gepleegd, maar op het cryptominen na, had t gewoon een white hat operatie kunnen zijn om de bank en amazon duidelijk te maken dat de boel niet op orde is.

Verwijderd @nobraininvolved • 29 augustus 2019 11:18

Inderdaad, dit is ook een sterk staaltje van de arrogante macht van de tech giganten. Om hun " technische" zwakheden te maskeren laten ze justitie disproportionele straffen eisen.
Ik zat toevallig net een nieuw artikeltje te lezen van een Microsoft cybersecurity officer, over " passwords" .Waardeloze adviezen, enfin, hier de link.

https://techcommunity.mic...ure&MC=Windows&MC=Virtual

hottestbrain

@Verwijderd • 29 augustus 2019 11:43

Ik hoor graag wat je precies waardeloos vind aan de adviezen. Kan me er persoonlijk namelijk best in vinden.

Verwijderd @hottestbrain • 29 augustus 2019 11:55

In feite wisten we al wat hij schrijft en het is niet zo moeilijk om je zelf te beschermen met een sterk wachtwoord. Zijn password manager advies vind ik daarom te kort door de bocht.
Laat Microsoft de limitaties van het aantal karakters maar eens oplossen .

farmertjes @nobraininvolved • 29 augustus 2019 16:44

- mevrouw heeft een tooltje op de bankservers gezet waarmee cryptomunten gemined worden op het
moment dat de computer vd bank...(niet echt schadelijk, wel vervelend want de boel wordt trager).

Korte termijn schade:
- mensen die weglopen bij de bank vanwege trage software
- transacties die potentieel mislukken vanwege trage software
- tijd/geld voor ICT-ers die het probleem gaan zoeken
- tijd/geld voor het bijschakelen van servers om toch de benodigde snelheid te behalen
Lange termijn schade:
- imago schade

Verwijderd @glennoo • 29 augustus 2019 10:26

Ze heb het bemachtigd, niet doorverkocht, geen misbruik van de gegevens gemaakt. dus nee het sociale leven van 140k mensen is niet vernietigd. Daarnaast vind ik het erger als iemand dood is dan dat je je gegevens op straat liggen. Men pleegt toch ook geen zelfmoord als men gehackt wordt. Sinds wanneer is het erger om gegevens als social security nummer te bemachtigen dan iemand vermoorden. De straffen van bijv. verzekeringsmaatschappijen voor datalekken enz is vele malen minder dan dit.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:16]

glennoo @Verwijderd • 29 augustus 2019 11:22

Een van de grootste redenen van zelfmoord in amerika is financiele redenen. En het is verdomd makkelijk om iemand financieel te ruïneren met een social security number. Daarnaast heeft deze vrouw de details over de servers al openbaar gezet. Misschien (sleutel woord want er zijn geen aanwijzingen maar dat zegt nog niks) dat zij de gegevens niet uitlekt maar goede kans dat een hacker hier wel mee aan de slag zou kunnen gaan. Meldt het dan bij de instantie ipv het open bloot voor iedereen neer te zetten.

WimmieV @Verwijderd • 29 augustus 2019 14:10

"Men pleegt toch ook geen zelfmoord als men gehackt wordt."

Knap dat jij dat weet!

Er plegen mensen om mínder heftige redenen zelfmoord, dan na een hack veel geld kwijt te zijn waar ze niet kunnen missen.

mjz2cool @Verwijderd • 29 augustus 2019 10:46

Lees het nog eens, @glennoo zegt potentieel vernietigen. En je zegt wel dat mensen geen zelfmoord plegen als ze gehackt worden, maar dat kan wel degelijk. Als je leven compleet geruïneerd wordt door een hacker (bijvoorbeeld financieel) kun je best in een neerwaartse spiraal terecht komen.

[Reactie gewijzigd door mjz2cool op 22 juli 2024 22:16]

mjz2cool @Verwijderd • 29 augustus 2019 10:53

Onze id nummers zijn alleen niet geheim meer, Dat is in de VS anders.

Verwijderd @mjz2cool • 29 augustus 2019 10:54

In VS moeten en doen ze het daar ook opgeven hoor.

WimmieV @Verwijderd • 29 augustus 2019 14:16

Jij beweert dat jij weet waarom mensen wel of geen zelfmoord plegen.

Voel je nu echt niet aan dat dat een idiote opmerking is?

Nee dus.

En dan haal je er van alles bij om het laatste woord/gelijk te krijgen.

[Reactie gewijzigd door WimmieV op 22 juli 2024 22:16]

Verwijderd @WimmieV • 29 augustus 2019 14:21

Nou nee zo moet je het niet interpreteren. Ik zeg alleen dat men het niet zomaar doet. Een mensenleven gaat wel verloren bij moord, maar bij hacking niet direct.

WimmieV @Verwijderd • 29 augustus 2019 15:26

Gelukkig!
Maar de ellende, zoals anderen al aangeven, van een hack, kan veel groter zijn dan het overlijden van 1 persoon.
Niet voor degenen die achterblijven natuurlijk!
Maar zo'n hack zou zelfs meerdere (zelfmoord)doden kunnen veroorzaken.

mjz2cool @ThemNuts • 29 augustus 2019 10:50

Echter is er voor het rijden in een auto een legitieme reden. Voor het onrechtmatig inbreken niet.

glennoo @ThemNuts • 29 augustus 2019 11:24

Want we weten allemaal dat ergens inbreken en rondrijden met een voertuig waar je een geldig rijbewijs van hebt, wat in de wet goedgekeurd is, twee precies dezelfde 1-op-1 vergelijkbare dingen zijn. Toch?

ThemNuts @glennoo • 29 augustus 2019 11:29

het gaat om het woord potentieel..

glennoo @ThemNuts • 29 augustus 2019 11:45

Dat is leuk, maar het hele proces gaat erom dat deze vrouw iets heeft gedaan wat niet mag er daar zeer grote gevolgen aan kunnen zitten. Dat is niet te vergelijken met iets wat wel gewoon mag. Verkeersboetes worden ook uitgedeeld om potentieel gevaar tegen te gaan maar die krijg je ook alleen wanneer je iets doet wat niet mag.

K-aroq @Verwijderd • 29 augustus 2019 10:35

In veel delen van dat land kan je nog altijd de doodstraf krijgen voor het eerste vergrijp.

darknessblade @Verwijderd • 29 augustus 2019 11:46

en dan dat geld nog verhuist naar een belasting paradijsje, waar de USA het niet kan bemachigen. en dat zij dan verhuist naar een land waar de USA geen juristrictie heeft, en zo via een omweg het geld weer bemachtigd, door het om te zetten in crypto, naar andere cryoto, een paar keer via verschillende soorten, en dan heeft ze genoeg geld om relaxed te leven, zonder dat de USA er iets aan kan doen

Verwijderd @Verwijderd • 29 augustus 2019 12:20

Ergens moet je een ontmoedigingsbeleid voeren en straffen toepassen dat afschrikt. Voor moord ga je net zolang de cel in in de USA tot zelfs levenslang.

10 jaar is in NL. Niet de USA.

Verwijderd @Verwijderd • 29 augustus 2019 12:32

in seattle waar ze is aangehouden heb je voor second degree ook gewoon 10 jaar

Cergorach

Beveiliging en antivirus

@Verwijderd • 29 augustus 2019 12:20

10 jaar straf als je iemand dood maakt. 25 jaar voor wat werk op een laptopje. Vind ik te gek voor woorden.

In dergelijke systemen wordt er gekeken naar de impact van je acties, iemand doden heeft permanente onherroepbare impact op 1 individu en significante impact op mensen daaromheen. Een dergelijke hack heeft een kleine impact op een enorme hoeveelheid mensen, een 100 miljoen zandkorrels is nog steeds een heleboel zand...

Vergeet ook niet dat we het over de VS hebben, dat is over het algemeen niet 10 jaar in het gevang, dat kan oplopen tot permanent in het gevang tot executie. Geheel afhankelijk van welke smaak moord, waar en op wie: https://en.wikipedia.org/...rder_in_the_United_States

Ga niet Nederlandse straffen met VS straffen vergelijken...

AmigaWolf @Verwijderd • 29 augustus 2019 16:48

10 jaar straf als je iemand dood maakt. 25 jaar voor wat werk op een laptopje. Vind ik te gek voor woorden.

Niet in America, daar krijg je met gemak 25 jaar of veel meer voor moord, maar deze straf is zo hoog omdat het om een bank gaat, wat veel machtige mensen hun rekening bij hebben, en ja dan krijg je zulke absurde hoge straffen, er is niet doorverkocht en geen misbruik van de gegevens gemaakt, en hoe vaak al zijn er niet ven miljoenen mensen hun gegevens uitgelekt?? 5 jaar had meer dan genoeg geweest voor dit, helemaal in een gevangenis in America.

[Reactie gewijzigd door AmigaWolf op 22 juli 2024 22:16]

GameNympho @Verwijderd • 29 augustus 2019 16:55

In Amerika is everything "bigger and better"

zo ook de straffen.
Maar als de FBI/CIA of welke instantie, iemand vals beschuldigd, zouden daar ook straffen op moeten staan voor die foute ambtenaren of diegene die dit door heeft gezet.
Dat de vrouw fout is, o.k, maar 25jaar voor zoiets, terwijl een moord maar 10 tot 20jaar krijgt (als je al een strafblad hebt) ?

Blokker_1999

Politiek en recht
Verenigde staten
Hack
Beveiliging en antivirus
Bank

@Verwijderd • 29 augustus 2019 17:14

Waarom vergelijk je een uitgesproken straf met de mogelijks zwaarste straf? Vergeet niet dat in sommige staten in de VS op moord met voorbedachte rade gewoon de doostraf van toepassing is. Dan kom je er met 25 jaar nog altijd beter vanaf.

Het is ook niet dat ze zich als ethish hacker heeft opgesteld. Er is enorm veel gevoelige data ontvreemd. Dan ben je al niet meer bezig met gewoon een punt te maken.

Armin @Verwijderd • 29 augustus 2019 19:21

10 jaar straf als je iemand dood maakt. 25 jaar voor wat werk op een laptopje. Vind ik te gek voor woorden.

Het gaat hier niet om 25 jaar, maar om een misdrijf waar tot 25 jaar gegeven kan worden. In het Amerikaanse juridische berichtgeving is het heel normaal dat men het zo rapporteert, maar dat betekent niet dat men dat ook krijgt.

In Nederland rapporteert men de eis van de OvJ, maar in het Amerikaanse stelsel eist een OvJ niks, vandaar dus het verschil.

[Reactie gewijzigd door Armin op 22 juli 2024 22:16]

ReVision. @ViveUtVivas • 29 augustus 2019 10:17

Ze heeft de gegevens die ze heeft bemachtigd met de hack niet op Github gezet, enkel informatie over de slechte beveiliging van de servers. Dat terzijde vind ik de straf die wordt geëist prima.

ViveUtVivas @ReVision. • 29 augustus 2019 10:26

Je hebt gelijk ik had deze zin niet goed gelezen:
According to the criminal complaint, THOMPSON posted on the information sharing site GitHub about her theft of information from the servers storing Capital One data.

unglaublich @ViveUtVivas • 29 augustus 2019 10:40

Ach, hou toch op. Als een bank miljoenen gegevens zo makkelijk laat uitlekken dan zou ik eens gaan zoeken naar de schuldenaar in de bank, in plaats van er buiten.

ViveUtVivas @unglaublich • 29 augustus 2019 10:47

Je kunt deels de bank hier de schuld van geven, maar ook de IT leverancier.
Weet niet of dat in dit geval de bank zelf is. Maar als er slechte beveiliging is dan maak je ze het wel te makkelijk.
Alsnog zou je ethisch kunnen handelen en het melden bij de bank i.p.v in het openbaar er lekker over opgaan scheppen.

Blokker_1999

Politiek en recht
Verenigde staten
Hack
Beveiliging en antivirus
Bank

@unglaublich • 29 augustus 2019 17:16

Natuurlijk moet dat ook gebeuren. Maar het is niet omdat ik mijn voordeur laat openstaan dat jij het recht hebt om binnen te wandellen en dingen mee te nemen.

Freeaqingme @ViveUtVivas • 29 augustus 2019 11:23

Een straf bestaat uit 3 componenten:
- Vergelding: Oog om oog, tand om tand
- Rehabilitatie: Iemand helpen om weer op het rechte pad te komen
- Voorkomen: zorgen dat andere mensen niet ook deze misdaad begaan omdat ze weten wat voor straf ze er voor zouden kunnen krijgen.

Het laatste punt hangt overigens heel erg samen met de pakkans. Stel dat de doodstraf zou staan op 2km/h te hard rijden, maar is de kans nog steeds heel erg klein dat je gepakt wordt, dan gaan niet minder mensen die overtreding begaan.

Daar komt vervolgens bij dat hoe langer je iemand opsluit, des te groter de kans is dat 'ie recidiveert.

Dat gezegd hebbende: Waarom zou jij een straf van 25 jaar passend vinden?

En aansluitend: Wat voor straf vind je dat de bank moet krijgen, en wat zou er met de CEO moeten gebeuren?

ViveUtVivas @Freeaqingme • 29 augustus 2019 11:30

Een straf van 25 jaar is veel een van de artikelen spreekt over 5 jaar dat is passender vind ik.
Wel vind ik dat de dreiging van 25 jaar op een dergelijke overtreding een afschrikkende werking heeft.

Zolang ze inderdaad de gegevens niet misbruikt dan wel gedeeld heeft is 5 jaar meer dan afdoende.
Heeft ze er wel gebruik van gemaakt (als in verhandelt o.i.d.) dan is 10~15 jaar passender.

Maar dat is mijn mening, gelukkig bepaal ik de wet niet

trisje @ViveUtVivas • 30 augustus 2019 08:03

Ze heeft op github gezet hoe de amazon servers te hacken zijn, niet de bank gegevens en id gegevens.

En ja als ze mijn bank gegevens zou hebben, wil ik dat ze een straf krijgt, maar wel eentje die evenredig is aan het vergrijp. 25 jaar is dat zeker niet. Al is dit een maxium straf die ze zoy kunnen krijgen. Sommige mensen zouden ze een ook is 2 jaar moeten opsluiten als ze voor de derde keer een verkeers overtreding maken niet?

K-aroq @IJzerlijm • 29 augustus 2019 10:35

Wat zou jij dan gaan doen? Speculeren over wat het eventueel zou kunnen worden, of gewoon bij de feiten blijven. En het enige feit dat we nu hebben is de maximum straf.

EpicKip @IJzerlijm • 29 augustus 2019 10:38

Hoe is het goed voor de kliks? Het staat niet in de titel.... En in de inhoud wordt hier maar 1 zin aan besteed.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (50)

Sorteer op:

Weergave: