Per chi non la conoscesse la Capital One, la società è una holding bancaria specializzata in carte di credito, prestiti auto, conti bancari e di risparmio con sede a McLean, in Virginia. Capital One si classifica al 10 ° posto nell’elenco delle maggiori banche degli Stati Uniti per patrimonio e proprio ieri ha rilasciato un comunicato ufficiale con il quale denunciava un importante data breach.
Il comunicato inizia con le seguenti parole:
“Perpetrator Arrested by Federal Law Enforcement”
Il colpevole è stato arrestato dalle forze dell’ordine federali” è l’incipit del comunicato dell’azienda che ha deciso di tranquillizzare i propri clienti. Il 19 luglio 2019 la società ha confermato che è stato registrato un accesso non autorizzato da parte di un individuo esterno che ha sottratto ed ottenuto determinati tipi di informazioni personali relative ad alcune persone titolari di carte di credito e a clienti con carta di credito Capital One.
Una volta scoperto l’attacco la Capital One ha immediatamente risolto la vulnerabilità e contattato l’FBI che ha individuato e sottoposto a misura cautelare il sospettato. “In base alla nostra analisi ” scrive la Capital One “riteniamo improbabile che le informazioni siano state utilizzate per frode o diffuse da questa persona. Tuttavia, continueremo a indagare.”
Il Presidente e CEO dell’azienda Fairbank, dichiara “Mi scuso sinceramente per la comprensibile preoccupazione che questo incidente sta causando alle persone colpite e mi impegno a risolverlo.”.
L’attacco ha interessato circa 100 milioni di persone negli Stati Uniti e circa 6 milioni in Canada. Numeri decisamente importanti ma come sottolineato “nessun numero di conto della carta di credito o credenziali di accesso è stato compromesso e inoltre il 99% dei numeri di previdenza sociale non sono stati compromessi”.I dati riguardano 23 giorni tra il 2016 e il 2018.
Nessun numero di conto bancario o numero di previdenza sociale è stato compromesso conferma la Capital One “tranne“:
– Circa 140.000 numeri di previdenza sociale dei clienti con carta di credito
– Circa 80.000 numeri di conto bancario collegati dei clienti con carta di credito protetta
Per i clienti canadesi con carta di credito,
– circa 1 milione di numeri di previdenza sociale sono stati compromessi.
Le tipologie di dati fraudolentemente sottratti erano: nomi, indirizzi, codici postali / codici postali, numeri di telefono, indirizzi e-mail, date di nascita e entrate.
“Siamo molto grati all’ufficio di Seattle dell’FBI e all’agente speciale Joel Martini, al Procuratore americano Brian T. Moran e all’assistente procuratore statunitense Steven Masada e Andrew Friedman del distretto occidentale di Washington per la velocità con cui hanno risposto all’incidente e arrestato il responsabile”. Fbi ha arrestato una donna di Seattle, P. A. T., 33 anni, accusandola di abuso e frode informatica.
La vulnerabilità del sistema è stata inizialmente segnalata da un ricercatore esterno di cybersecurity grazie al Programma “Responsible Disclosure Program” il 17 luglio 2019. La Capital One ha quindi iniziato l’indagine interna, che ha portato alla scoperta dell’incidente il 19 luglio 2019.
“Prevediamo che l’incidente genererà costi incrementali dai circa $ 100 ai $ 150 milioni nel 2019. I costi previsti sono in gran parte determinati da notifiche ai clienti, monitoraggio del sistema di credito, costi tecnologici e supporto legale.”
La società aggiunge nelle note di possedere una copertura assicurativa contro i rischi cyber cosa non da poco, che potrebbe coprire l’intero ammontare dei costi derivati dall’attacco.
Ecco il comunicato ufficiale: CAPITAL ONE NEWSROOM dove sono riportate, oltre alla descrizione dell’accaduto, alcune risposte ad alcune domande relative all’incidente di sicurezza informatica ( es: What was the vulnerability that led to this incident?.. etc)