Неправилни конфигурации все по-често застрашават чувствителните данни в облака(снимка: CC0

Неправилни конфигурации все по-често заплашват сензитивните данни в облака
(снимка: CC0 Public Domain)

Бивша служителка на клауд доставчика AWS бе приета за отговорна за хакване на облачните системи на банка Capital One, к оето докара до приключване на данни на 106 милиона клиенти.

36-годишната Пейдж Томпсън е работила като софтуерен инженер в Amazon Web Services от 2016 година Жената е приета за отговорна за хакване на облачните сървъри на американската банкова холдингова компания Capital One Financial Corp и кражба на персонални данни на повече от 100 милиона души преди съвсем три години, заяви Darkreading.

Съдебно жури в американския областен съд в Сиатъл призна Томпсън за отговорна в седем федерални закононарушения, в това число шикалкавене с потребление на електронни средства за връзка, която може да ѝ донесе до 20 години затвор.

Другите обвинявания, като противозаконен достъп до предпазен компютър и щета на предпазен компютър, се санкционират с до пет години затвор. Съдебните заседатели обаче я признаха за почтена по обвиняването за машинация с устройства за достъп и кражба на идентичност.

Прокурорите настояват, че Томпсън, която употребява потребителско име „ erratic ”, е основала инструмент за разкриване на погрешно конфигурирани сметки в AWS. Това ѝ разрешава да проникне в сметки на над 30 клиенти на AWS, в това число на Capital One, и да получи достъп до техните данни.
още по темата
Освен това Томпсън употребила достъп до някои сървъри за копаене на криптовалута, която влизала в личния ѝ крипто портфейл. Окончателната присъда ще бъде произнесена от американския областен арбитър Робърт С. Ласник на 15 септември.

Този случай изведе на напред във времето въпроса за отговорността в облака и казуса с неправилните конфигурации. Установено е, че Capital One е показала немарливост при разкриването на чувствителни финансови данни на обществеността, което е довело до санкция на банката от 80 милиона $. Освен това случаят е коствал на компанията 190 милиона $ за споразумяване на искове на клиенти.

В скорошен отчет компанията за сигурност Rapid7 означи, че нарушаванията, свързани с неправилни конфигурации в облака, не престават да се случват с „ разочароваща периодичност ”. Изследователите предизвестиха, че с подобаващите принадлежности е съвсем банално за всеки експерт да търси пробиви в облака и да открие неправилна настройка, която в последна сметка води до приключване на чувствителни данни.

През 2020 година вредите от погрешно настройване на облаци възлизат на 5 трилиона $. Сега тази сума може да бъде доста по-висока. Ето за какво предприятията следва да отделят запаси за сигурност в облака, в това число обмисляне на сигурни и толерантни на неточности конфигурации и автоматизирани процеси за следене на неточности и пропуски.