Eine 36-jährige ehemalige Amazon-Mitarbeiterin wurde in den USA wegen Drahtbetrugs und Computereinbruchs verurteilt, weil sie am Diebstahl der persönlichen Daten von nicht weniger als 100 Millionen Menschen im Rahmen des Capital One-Bruchs 2019 beteiligt war.
Paige Thompson, die unter dem Online-Pseudonym „erratic“ agierte und bis 2016 für den Tech-Riesen arbeitete, wurde des Drahtbetrugs, des unbefugten Zugriffs auf einen geschützten Computer und der Beschädigung eines geschützten Computers in fünf Fällen für schuldig befunden.
In dem siebentägigen Prozess sprachen die Geschworenen sie von weiteren Anklagepunkten frei, darunter Betrug mit Zugangsgeräten und schwerer Identitätsdiebstahl. Ihre Verurteilung ist für den 15. September 2022 angesetzt. Die Straftaten können insgesamt mit bis zu 25 Jahren Gefängnis bestraft werden.
„Frau Thompson nutzte ihre Hacking-Fähigkeiten, um die persönlichen Daten von mehr als 100 Millionen Menschen zu stehlen und Computerserver zu kapern, um Kryptowährungen zu schürfen“, sagte US-Staatsanwalt Nick Brown. „Sie war weit davon entfernt, eine ethische Hackerin zu sein, die versucht, Unternehmen bei ihrer Computersicherheit zu helfen, sondern sie nutzte Fehler aus, um wertvolle Daten zu stehlen und sich selbst zu bereichern.“
Bei dem Vorfall, der im Juli 2019 bekannt wurde, brach die Angeklagte in die Cloud-Computing-Systeme von Amazon ein und stahl die persönlichen Daten von rund 100 Millionen Menschen in den USA und sechs Millionen in Kanada. Dabei handelte es sich um Namen, Geburtsdaten, Sozialversicherungsnummern, E-Mail-Adressen und Telefonnummern.
Ermöglicht wurde dies durch die Entwicklung eines speziellen Tools, das nach falsch konfigurierten Amazon Web Services (AWS)-Instanzen suchte und es Thompson ermöglichte, sensible Daten von mehr als 30 Unternehmen, darunter auch Capital One, abzuschöpfen und Software zum Schürfen von Kryptowährungen in die unrechtmäßig angegriffenen Server einzuschleusen, um illegal digitale Gelder zu prägen.
Darüber hinaus hinterließ die Hackerin eine Online-Spur, der die Ermittler folgen konnten, da sie in SMS und Online-Foren mit ihren illegalen Aktivitäten prahlte, so das Justizministerium. Die Daten wurden auch auf einer öffentlich zugänglichen GitHub-Seite veröffentlicht.
„Sie wollte Daten, sie wollte Geld und sie wollte prahlen“, sagte der stellvertretende US-Staatsanwalt Andrew Friedman in den Schlussplädoyers vor den Geschworenen, wie das Justizministerium in einer Presseerklärung mitteilte.
Capital One wurde im August 2020 vom Office of the Comptroller of the Currency (OCC) zu einer Geldstrafe in Höhe von 80 Millionen Dollar verurteilt, weil das Unternehmen es versäumt hatte, vor der Migration seiner IT-Abläufe zu einem öffentlichen Cloud-basierten Dienst angemessene Maßnahmen zum Risikomanagement zu ergreifen. Im Dezember 2021 stimmte das Unternehmen zu, 190 Millionen Dollar zu zahlen, um eine Sammelklage wegen des Hacks beizulegen.