Gegevens ruim 100 miljoen klanten Capital One buitgemaakt na hack

De FBI heeft een 33-jarige verdachte ingerekend. Volgens de bank gaat het voornamelijk om gegevens die klanten achterlieten om een creditcard aan te vragen.

Capital One is een van de grootste banken van de Verenigde Staten.
Capital One is een van de grootste banken van de Verenigde Staten. Foto Johannes Eisele/AFP

Capital One, een grote Amerikaanse bank gespecialiseerd in kredietverlening, is getroffen door een hack waarbij gegevens van ruim honderd miljoen klanten gestolen zijn.

De Amerikaanse opsporingsdienst FBI heeft een verdachte - de 33-jarige Paige A. Thompson - uit Seattle ingerekend. Thompson werd maandag aangeklaagd voor computerfraude. De hacker maakte sinds eind maart misbruik van een door de bank verkeerd ingestelde firewall bij servers die het van Amazon huurde. Daardoor verkreeg ze toegang tot de gevoelige data. Thompson werkte in 2015 een jaar voor de cloud-divisie van Amazon.

Thompson plaatste delen van de gehackte data op haar persoonlijke GitHub-pagina, een website waar software-ontwikkelaars broncode delen. Het is onbekend of anderen in die tijd de gegevens gekopieerd hebben. Ze stuurde volgens de aanklacht van de FBI ook privéberichten via Twitter en Slack waarin ze zei van plan te zijn de gegevens te publiceren.

Capital One ontdekte op 19 juli de fout waar de hacker gebruik van maakte. Dat lek, „een specifieke kwetsbaarheid in de configuratie van onze infrastructuur”, werd twee dagen eerder gemeld door een externe onderzoeker. De fout is volgens de bank opgelost.

Capital One benadrukte in een verklaring dat creditcardgegevens, burgerservice- en bankrekeningnummers maar een beperkt deel van de gestolen gegevens vormen. Van 140.000 klanten werden zowel creditcardgegevens als bsn-nummers buitgemaakt. De gegevens zijn volgens de bank waarschijnlijk niet misbruikt of verder verspreid, maar Capital One blijft onderzoek doen. De gegevens van zes miljoen Canadese klanten werden ook gestolen, waaronder 1 miljoen bsn-nummers.

Transactiegegevens

Het leeuwendeel van de buitgemaakte data was informatie die consumenten en kleinere bedrijven sinds 2005 aanleverden om een creditcard bij Capial One aan te vragen; persoonlijke informatie als geboortedata, telefoonnummers, e-mailadressen en schattingen van inkomens. De hacker kon volgens de bank ook bij transactiegegevens verspreid over 23 dagen in 2016, 2017 en 2018.

Richard Fairbank, voorzitter en directeur van Capital One, is blij dat de dader gepakt is. „Ik bied mijn oprechte excuses aan voor de begrijpelijk zorgen die dit incident veroorzaakt bij de betrokkenen. Ik ga dit rechtzetten.” De bank reserveert tot 150 miljoen dollar (bijna 135 miljoen euro) om het datalek af te handelen. Capital One, met het hoofdkantoor in McLean, Virginia, is actief in meerdere staten. Volgens The Wall Street Journal is de bank de op vijf na grootste kredietverstrekker in de Verenigde Staten.