Skal stå bak gigantisk cyberangrep:

Avslørt av skryt

Over 100 millioner amerikanere og kanadiere har fått personopplysningene sine stjålet. Nå har amerikanske myndigheter siktet en kvinne, etter at hun angivelig skrøt uhemmet av sine handlinger.

HACKET: Den amerikanske banken Capital One ble hacket og personopplysningene til 106 millioner amerikanere og kanadiere ble stjålet. Foto: Johannes EISELE / AFP
HACKET: Den amerikanske banken Capital One ble hacket og personopplysningene til 106 millioner amerikanere og kanadiere ble stjålet. Foto: Johannes EISELE / AFPVis mer

Mer enn 100 millioner amerikanere og kanadiere har blitt frastjålet personopplysningene sine i et av de største dataangrepene mot en bank i USA noen gang. Bak det hele står en kvinne, mener amerikansk politi.

Den 33 år gamle programvareingeniøren, som tidligere jobbet for Amazon, ble mandag siktet og arrestert for å ha stått bak et massivt hacker- og datainnbrudd hos den amerikanske banken Capital One – USAs tredje største kredittkortutsteder.

Kvinnen skal ha stjålet rundt 140 000 amerikanske personnumre, én million kanadiske personnumre og 80 000 kontonumre. Totalt er 100 millioner amerikanere og 6 millioner kanadiere rammet, skrev banken i en pressemelding på mandag.

Annen informasjon som er innhentet er blant annet adresser, telefonnumre, fødselsdatoer og lønnsopplysninger, skriver CNN.

Informasjonen om de 106 millioner menneskene innhentet hun fra kredittkortsøknader som forbrukere og små bedrifter skal ha sendt inn så tidlig som i 2005, og så seint som i 2019, skriver The New York Times.

- Jeg er takknemlig for at gjerningspersonen skal ha blitt tatt, men jeg beklager inderlig det som har skjedd, sa styreleder og administrerende direktør Richard D. Fairbank i en uttalelse.

Skrøt på nettet

Hun skal ha skrytt uhemmet av hackingen på flere sosiale medier under kallenavnet «Erratic» (uberegnelig, journ.anm.).

Hun skal angivelig ha skrytt så åpent om hackingen at andre hackere advarte henne om å være forsiktig for å unngå å havne i fengsel.

Hun skal tilsynelatende ha vært klar over faren ved å skrive åpent om hackingen og skal blant annet ha skrevet: «Jeg har iført meg en bombevest ved å å innrømme dette.»

I slutten av juni listet hun opp «flere selskaper, offentlige enheter og utdanningsinstitusjoner» som hun hevdet at hun potensielt kunne ha hacket, i tillegg til den amerikanske banken.

Den 33 år gamle kvinnen sto også bak en gruppe, et sosialt nettverk kalt «Seattle Warez Kiddies», på det sosiale mediet Meetup. Gruppen skulle være for alle med interesse for «distribuerte systemer, programmering og hacking».

Ifølge rettsdokumenter har den amerikanske sikkerhetstjenesten FBI overvåket kvinnens online-profiler over lengre tid.

De brukte aktiviteten hennes på Meetup for å spore hennes andre aktiviteter. Etter hvert skal de ha lyktes med å koble henne til innlegg som beskrev datatyveriet på Twitter og meldingstjenesten Slack, skriver The New York Times.

Gjennom et bilde hun selv delte av en faktura hun hadde fått fra en veterinær, klarte FBI å identifisere henne, ifølge Berlingske Tidende.

Smutthull i brannmur

Kvinnen jobbet tidligere for Amazon Web Services som var vertskap for eksterne dataservere banken brukte for å lagre informasjonen.

Banken skal i tillegg ha bygget en egen webapplikasjon på toppen av Amazons skydatatjeneste, slik at informasjonen de hadde kunne brukes spesifikt for deres behov.

Hun fikk tilgang til sensitiv data gjennom en «feilkonfigurasjon» av en brannmur i en web-applikasjon, ifølge en FBI-etterforsker som jobbet med saken. Det tillot henne å kommunisere med serveren der Capital One lagret informasjonen og innhente enorme mengder kundefiler.

Hun skal ha innhentet personopplysningene 22. og 23. mars i år, men først 17. juli ble Capital One klar over hackingen etter å ha mottatt tips om at bankens data så ut til å ha blitt «lekket».

Ifølge Amazon kontrollerer kundene deres applikasjonene de bygger. Amazon sier at de ikke har funnet noe som tyder på at deres egne tjenester er blitt kompromittert.

Det er antatt at kvinnen vil få en maksimumsstraff på fem års fengsel og en bot på 250 000 dollar, tilsvarende omtrent 2, 3 millioner kroner med dagens kurs. Høringen er planlagt 1. august.