Amerika Birleşik Devletleri’ndeki en büyük veri ihlallerinden birinin ifşa edilmesinden yaklaşık üç yıl sonra, müşterilerin kişisel bilgilerini Capital One’dan çalmakla suçlanan eski Amazon çalışanı, Amerikan korsanlıkla mücadele yasasının gücünü test edecek bir davada yargılanıyor.
Paige Thompson, Seattle’da yazılım mühendisi olarak çalıştı ve diğer programcılar için çevrimiçi bir topluluk yönetti. Adalet Bakanlığı, 2019 yılında 100 milyondan fazla Capital One müşterisine ait kişisel bilgileri indirdiğini söyledi.
Veriler, kredi kartı başvurularından geldi ve 140.000 Sosyal Güvenlik numarası ve 80.000 banka hesap numarasını içeriyordu. Salı günü Seattle’da başlayan federal bir davada 10 adet bilgisayar dolandırıcılığı, elektronik dolandırıcılık ve kimlik hırsızlığıyla karşı karşıya.
Bayan Thompson’ın bilgiyi keşfetmek için kullandığı yöntemler ve bununla ne yapmayı planladığı davada yakından incelenecek. 36 yaşındaki Bayan Thompson, bir bilgisayara yetkisiz erişimi yasaklayan Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası olarak bilinen bir bilgisayar korsanlığı karşıtı yasayı ihlal etmekle suçlanıyor. Bayan Thompson suçsuz olduğunu iddia etti ve avukatları, çevrimiçi güvenlik açıklarını taramak ve açığa çıkanları keşfetmek gibi eylemlerinin “acemi bir beyaz şapkalı bilgisayar korsanı” olduğunu söylüyor.
Bilgisayar dolandırıcılığı yasasını eleştirenler, yasanın çok geniş olduğunu ve çevrimiçi sistemlerdeki güvenlik açıklarını keşfeden veya dijital anlaşmaları iyi niyetli yollarla bozan kişilere karşı kovuşturma yapılmasına olanak tanıdığını, örneğin bir sosyal medya sitesinde kullanıcıların gerçek hesaplarını kullanmasını gerektiren bir takma ad kullanmak gibi olduğunu savundu. isimler.
Son yıllarda mahkemeler uzlaşmaya başladı. Yargıtay, geçen yıl yasanın kapsamını daralttı ve verilere meşru erişimi olan ancak erişimlerini uygunsuz bir şekilde kullanan kişileri kovuşturmak için kullanılamayacağına karar verdi. Ve Nisan ayında bir federal temyiz mahkemesi web kazıma olarak bilinen web sitelerinden otomatik veri toplamanın yasayı ihlal etmediğine karar verdi. Geçen ay, Adalet Departmanı savcılara, “iyi niyetli güvenlik araştırması” yapan bilgisayar korsanlarını takip etmek için artık yasayı kullanmamaları gerektiğini söyledi.
Bayan Thompson’ın duruşması, güvenlik araştırmacılarının eylemleri yasayı çiğnemeden önce siber güvenlik kusurlarının peşinde ne kadar ileri gidebileceklerine dair soruları gündeme getirecek. Savcılar, Bayan Thompson’ın topladığı bilgileri kimlik hırsızlığı için kullanmayı planladığını ve kripto para madenciliği yapmak için kurumsal sunuculara erişiminden yararlandığını söyledi. Ancak avukatları, Bayan Thompson’ın Capital One’ın veri depolama sistemindeki kusurları keşfetmesinin, meşru güvenlik araştırmacıları tarafından kullanılan uygulamaların aynısını yansıttığını ve suç faaliyeti olarak değerlendirilmemesi gerektiğini savundu.
Bayan Brian Klein, “Bir kanunu o kadar geniş yorumluyorlar ki, masum ve desteklememiz gereken bir toplum olarak, yani güvenlik araştırmacılarının internette dolaşıp daha güvenli hale getirmeye çalıştığı davranışları yakalıyorlar” dedi. Thompson. Bay Klein, yasanın “nelerin başını belaya sokabileceğine ve neyin başını belaya sokamayacağına dair insanlara pek fazla görünürlük sağlamıyor” diye ekledi.
Adalet Bakanlığı, Bayan Thompson’ın Capital One’ın güvenliğindeki açıkları kapatmasına yardım etmekle ilgilenmediğini ve “beyaz şapkalı” bir hacker olarak kabul edilemeyeceğini savundu. Bunun yerine, yasal başvurulara göre, ihlalden nasıl kar elde edebileceği konusunda arkadaşlarıyla çevrimiçi sohbet etti.
Washington’un Batı Bölgesi’nin ABD avukatı Nicholas W. Brown yasal bir dosyada, “Yaptıkları genel olarak ‘araştırma’ olarak nitelendirilebilse bile, iyi niyetle hareket etmedi” dedi. “Hem para kazanmak hem de bilgisayar korsanlığı topluluğunda ve ötesinde ün kazanmak için motive oldu.”
Bazı güvenlik araştırmacıları, Bayan Thompson’ın Capital One’ın sistemlerine beyaz şapkalı bir bilgisayar korsanı olarak kabul edilemeyecek kadar fazla girdiğini söyledi.
Siber güvenlik firması Sophos’ta baş araştırma bilimcisi olan Chester Wisniewski, “Meşru insanlar, aralık görünüyorsa bir kapıyı iterek açarlar” dedi.
Güvenlik araştırmacılarının, sorunları şirketlere bildirmeden önce, düzeltilebilmeleri için buldukları güvenlik açıklarını test etmeleri ve verileri açığa çıkaran kusurlarla sonuçlandığından emin olmaları alışılmadık bir durum değildir. Ancak Bay Wisniewski, binlerce dosya indirmenin ve bir kripto para madenciliği operasyonu kurmanın “güvenlik testi sırasında gerçekleşmeyen kasıtlı olarak kötü niyetli eylemler” olduğunu söyledi.
Bayan Thompson, mahkeme kayıtlarına göre, uyum sağlamak için mücadele ettiği ancak bilgisayarlarla mükemmelleştiği Arkansas’ta büyüdü. Liseyi bıraktı ve sonunda gelişen bir teknoloji uzmanları topluluğuna katılacağı ve bir cinsiyet geçişine başlayacağı Seattle’a taşınmayı planladı.
2005 yılında, 20 yaşına gelmeden önce, Bayan Thompson zaten bir dizi yazılım geliştirme işinde çalışıyordu. 2015 yılında online perakende devinin bulut bilişim kanadı olan Amazon Web Services’de bir iş buldu ve bir yıldan biraz fazla bir süre orada çalıştı. Ancak Bayan Thompson, zaman zaman zihinsel sağlığı ile mücadele etti ve zaman zaman teknoloji endüstrisindeki akranlarından yabancılaştığını hissetti, geçişini kabul etmediğinden endişelendi, sosyal medyada ve kişisel bir blogda yazdı.
Amazon’un milyonlarca fiziksel ürünü baş döndürücü bir dizi depoda depolaması gibi, Amazon Web Hizmetleri de sunucularında yer kiralayan diğer şirketler için çok büyük miktarda veri barındırıyor. Müşterileri arasında Capital One vardı.
2019’un başlarında, Amazon Web Services için çalışmayı bıraktıktan birkaç yıl sonra, Bayan Thompson, verilerini korumak için güvenlik duvarlarını düzgün şekilde kurmamış müşterilerini aradı. Bay Brown yasal bir dosyada “Thompson, güvenlik açıkları arayan on milyonlarca AWS müşterisini taradı” diye yazdı. Savcı, Mart ayına kadar Capital One’dan veri indirmesine izin veren bir güvenlik açığı keşfettiğini ekledi.
Haziran 2019’da Bayan Thompson, bir kadına çevrimiçi mesajlar gönderdi ve bulduklarını açıkladı. Bayan Thompson, verileri bir dolandırıcıyla paylaşmayı düşündüğünü de ekledi ve ihlale karıştığını kamuoyuna açıklayacağını söyledi.
Bayan Thompson, mahkeme kayıtlarında yer alan çevrimiçi sohbetin kopyalarında, verileri kamuya açıklama ve kendini ifşa etme planına atıfta bulunarak, “Temelde kendimi bir bomba yeleğiyle bağladım” dedi.
Savcılar, kadının, Bayan Thompson’ın yetkililere teslim olmasını önerdiğini söyledi. Bir ay sonra kadın Capital One ile temasa geçti ve bankaya ihlali anlattı. Capital One, kolluk kuvvetlerini bilgilendirdi ve Bayan Thompson, Temmuz 2019’un sonlarında tutuklandı. Suçlu bulunursa, 30 yıldan fazla hapis cezasıyla karşı karşıya kalabilir.
Bayan Thompson’ı temsil eden avukat Mohammad Ali Hamoudi ve hukuk ekibinin diğer üyeleri bir dosyada “Hükümet tarafından sunulan anlık görüntüler, hayatta kalma ve dayanıklılık olarak daha adil bir şekilde tanımlanan bir hayatın eksik ve yanlış bir tasviridir” dedi. Bayan Thompson’ın akıl sağlığı tedavisi aradığını ve sorunlarıyla yüzleşme kararlılığını gösterdiğini eklediler.
2020’de Capital One, federal banka düzenleyicilerinden müşterilerin verilerini korumak için gereken güvenlik protokollerinden yoksun olduğu iddialarını çözmek için 80 milyon dolar ödemeyi kabul etti. Anlaşma ayrıca bankanın güvenliğini artırmak için hızlı çalışmasını gerektiriyordu. Aralık ayında Capital One, verileri ihlale maruz kalan kişilere 190 milyon dolar ödemeyi kabul ederek toplu dava açtı.
Kaynak : https://www.nytimes.com/2022/06/08/technology/capital-one-hacker-trial.html