En un comunicado publicado el día de ayer por la Corporación Financiera Capital One, la compañía confirmó que el pasado 19 de julio corroboraron que un individuo logró acceder de manera no autorizada a sus sistemas y acceder a información personal de aproximadamente 100 millones de personas a lo largo de Estados Unidos (EUA) y 6 millones en Canadá, que han solicitado productos relacionados a tarjetas de crédito que ofrece Capital One (principal emisor de tarjetas de crédito en EUA) entre 2005 y 2019.
La compañía, que de manera inmediata reparó el fallo de seguridad que permitió al intruso acceder a sus sistemas, asegura que comenzó a trabajar con las autoridades y que el FBI arrestó a una técnica de Seattle de 33 años como la figura responsable del incidente, cuyo nombre es Paige Thompson, explicó en un comunicado el Departamento de Justicia de los Estados Unidos.
Según el comunicado, la acusada publicó un comentario en GitHub en el que decía haber logrado infiltrarse en el sistema “a través de un firewall de aplicación web mal configurado que le permitió acceder a los datos”. Un usuario leyó este comentario el día 17 de julio y luego alertó a Capital One sobre la posibilidad de que hayan sufrido una brecha de datos.
Información expuesta
Además de nombres, dirección y códigos postales, números de teléfono, fechas de nacimiento, direcciones de correo electrónico, información sobre puntaje de crédito, límites de crédito, historial de pagos; entre la información más importante obtenida por el atacante figura: Número de Seguridad Social (SSN) de 140.000 clientes de las tarjetas de crédito de Capital One; cerca de 80.000 números de cuenta bancaria asociados a clientes de tarjetas de crédito, y aproximadamente un millón de Números de Seguro Social (SIN) de personas de Canadá.
Según afirmó la propia compañía, los clientes afectados fueron informados y aseguran que realizarán monitoreo gratuito para proteger la identidad de las personas afectadas y de los datos robados. Asimismo, desde Capital One creen que es poco probable que la información robada haya sido utilizada para llevar adelante algún tipo de fraude o distribuida por el cibercriminal, aunque continúan investigando el caso.