פייג' תומפסון תואשם בפעילות האקינג נוספת מלבד הפריצה לקפיטל וואן

כתב אישום שטרם נחתם נחשף אתמול (ד') והסגיר את מלוא ההיקף של טענות הממשלה כנגד מהנדסת התוכנה מסיאטל, פייג' תומפסון, שנעצרה ביולי בגין אחריות להפרת הנתונים החמורה בחברת קפיטל וואן – שהשפיעה על כ-100 מיליון לקוחות החברה. נתונים אלו נשמרו בשרת אמזון פגיע, שהוגדר על ידי הבנק בצורה שגויה.

לפי הדיווחים, כעת מסתבר כי ההאקרית שנחשדת כמי שביצעה את הפריצה המסיבית למחשבי מנפיקת כרטיסי האשראי, Capital One, כביכול, פרצה גם את שרתי לקוחות הענן בכדי לכרות מטבעות קריפטו.

משרד המשפטים האמריקני הגיש בסוף יולי כתב אישום נגד תומפסון, מהנדסת תוכנה בת 33 מסיאטל, שעבדה בעבר כמהנדסת תוכנה ב-AWS, שקפיטל וואן התארחה על שרתי הענן שלה. על פי הבנק והמשרד, היא פרצה לשרת של קפיטל וואן, וכך השיגה גישה ל-140 אלף מספרי ביטוח לאומי בארצות הברית, מיליון מספרי ביטוח לאומי קנדיים וכ-80 אלף מספרי חשבון בנק. זאת, בנוסף למספר לא ידוע של שמות, כתובות, דירוגי אשראי, מסגרות אשראי, יתרות ומידע אחר. כך, הפריצה עלולה להשפיע וכוללת נתונים פרטיים על 100 מיליון אמריקנים ושישה מיליון קנדים.

כרתה קריפטו בלי ידיעת הקורבנות

תומפסון למעשה עומדת בפני משפט גם בגין מה שמכונה Cryptojacking – מונח בתעשייה המתייחס למתקפות של כריית קריפטו בגניבה, שפועלות על ידי התקנת תוכנות זדוניות או באמצעות גישה אחרת לכוח העיבוד של המחשב ללא הסכמת הבעלים או ידיעתו.

יצוין כי במסמכי בית המשפט לא נכתב שם המעסיקה לשעבר של תומפסון, אך התקשורת טוענת כי החברה המדוברת היא AWS. ממסמכי התביעה עולה כי המשרד המדובר מספק שירותי מחשוב ענן לאנשים פרטיים, חברות וממשלות, ואף נחשפו בהם פרטים על שלושה קורבנות של תומפסון ששמם לא צוין, לכל שלושת הקורבנות היה קשר עסקי או שהם שכרו שרתים מחברת מחשוב ענן.

לגבי הקורבנות של תומפסון – במסמכים מתואר אחד מהם כ"סוכנות ממלכתית של מדינה שאינה מדינת וושינגטון", והשני כ"קונצרן טלקום שאינו פועל מארה"ב, המשרת לקוחות באירופה, אסיה, אפריקה ואוקיאניה". השלישי כ"אוניברסיטת מחקר ציבורית בארה"ב, גם מחוץ למדינת וושינגטון".

כתב האישום לא נקב בשמות המפורשים של קורבנותיה של תומפסון, כאמור, אולם יצוין כי חברת האבטחה סייברינט הישראלית טענה בתחילת החודש כי המדובר בוודאפון, פורד, אוניברסיטת מישיגן ומחלקת התחבורה של אוהיו, שאפשר שנפלו כולם קורבן להפרת הנתונים וחוקריה אף הרחיבו ואמרו שאפשר שמה שנודע עד כה אודות הפריצה לבנק קפיטל וואן הוא רק "קצה הקרחון", ושייתכן כי האירוע, החמור בלאו הכי, השפיע על חברות גדולות אחרות.

החשדות בכתב האישום טוענים עוד כי בכדי לבצע גניבת נתונים ופעילות כרייה מאסיבית, תומפסון ניצלה לכאורה את העובדה כי חלק מלקוחות הענן ביצעו תצורה לא נכונה של חומות אש ליישומי האינטרנט בשרתים ששכרו. היא השתמשה בכך כדי להשיג אישורים לחשבונות עם הרשאה להציג ולהעתיק נתונים המאוחסנים על ידי הלקוחות בשרתי הענן, ואז סרקה את הנתונים האלו עבור כל מידע אישי מזהה חשוב. פייג' חשודה גם שעשתה בעיקר שימוש בגישה שלה לשרתים לטובתה, כולל לצורך הצפנת מטבעות קריפטו. בהגשות לא חושפים פרטים באיזו מידה פעילות הכרייה של תומפסון הייתה רווחית.