Amerika Birleşik Devletleri’ndeki en büyük veri ihlallerinden birinin ifşa edilmesinden yaklaşık üç yıl sonra, müşterilerin kişisel bilgilerini Capital One’dan çalmakla suçlanan eski Amazon çalışanı, test edecek bir davada yargılanıyor. Amerikan korsanlıkla mücadele yasasının gücü.
Paige Thompson, Seattle’da yazılım mühendisi olarak çalıştı ve diğer programcılar için çevrimiçi bir topluluk yönetti. Adalet Bakanlığı, 2019 yılında 100 milyondan fazla Capital One müşterisine ait kişisel bilgileri indirdiğini söyledi.
Veri, kredi kartı başvurularından geldi ve 140.000 Sosyal Güvenlik numarası ve 80.000 banka hesap numarasını içeriyordu. Salı günü Seattle’da başlayan federal bir davada 10 adet bilgisayar dolandırıcılığı, elektronik dolandırıcılık ve kimlik hırsızlığıyla karşı karşıya.
Bayan Thompson’ın bilgiyi keşfetmek için kullandığı yöntemler ve bununla ne yapmayı planladığı davada yakından incelenecektir. 36 yaşındaki Bayan Thompson, bir bilgisayara yetkisiz erişimi yasaklayan Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası olarak bilinen bir bilgisayar korsanlığı karşıtı yasayı ihlal etmekle suçlanıyor. Bayan Thompson suçsuz olduğunu iddia etti ve avukatları, çevrimiçi güvenlik açıklarını taramak ve açığa çıkanları keşfetmek gibi eylemlerinin “acemi bir beyaz şapkalı hacker” olduğunu söylüyor.
Bilgisayar dolandırıcılığı yasasını eleştirenler, yasanın çok geniş olduğunu ve çevrimiçi sistemlerdeki güvenlik açıklarını keşfeden veya dijital anlaşmaları iyi huylu yollarla, örneğin bir bilgisayarda takma ad kullanmak gibi ihlal eden kişilere karşı kovuşturma yapılmasına izin verdiğini savundu. Kullanıcıların gerçek adlarını kullanmalarını gerektiren sosyal medya sitesi.
Son yıllarda mahkemeler uzlaşmaya başladı. Yargıtay, geçen yıl yasanın kapsamını daralttı ve veriye meşru erişimi olan ancak erişimlerini uygunsuz bir şekilde kullanan kişileri kovuşturmak için kullanılamayacağına karar verdi. Ve Nisan ayında, bir federal temyiz mahkemesi, web kazıma olarak bilinen web sitelerinden otomatik veri toplamanın yasayı ihlal etmediğine karar verdi. Geçen ay Adalet Bakanlığı savcılara, “iyi niyetli güvenlik araştırması” yapan bilgisayar korsanlarını takip etmek için artık yasayı kullanmamaları gerektiğini söyledi.
Bayan Thompson’ın duruşması, güvenlik araştırmacılarının eylemleri kanunu çiğnemeden önce siber güvenlik kusurlarının peşinde ne kadar ileri gidebileceklerine dair soruları gündeme getirecek. Savcılar, Bayan Thompson’ın topladığı bilgileri kimlik hırsızlığı için kullanmayı planladığını ve kripto para madenciliği yapmak için kurumsal sunuculara erişiminden yararlandığını söyledi. Ancak avukatları, Bayan Thompson’ın Capital One’ın veri depolama sistemindeki kusurları keşfetmesinin, meşru güvenlik araştırmacıları tarafından kullanılan uygulamaların aynısını yansıttığını ve suç faaliyeti olarak değerlendirilmemesi gerektiğini savundu.
“Bir kanunu o kadar geniş yorumluyorlar ki, masum olan ve toplum olarak desteklememiz gereken, güvenlik araştırmacılarının internete girip onu daha güvenli hale getirmeye çalıştığı davranışları yakalıyorlar” dedi Brian Klein , Bayan Thompson için bir avukat. Bay Klein, yasanın “nelerin başını belaya sokabileceğine ve neyin başını belaya sokamayacağına dair insanlara pek fazla görünürlük sağlamıyor” diye ekledi.
Adalet Bakanlığı, Bayan Thompson’ın Capital One’ın güvenlik açığını kapatmasına yardım etmekle ilgilenmediğini ve “beyaz şapkalı” sayılamayacağını savundu. “hacker. Bunun yerine, kanuni kayıtlarına göre, ihlalden nasıl kazanç elde edebileceği konusunda arkadaşlarıyla çevrimiçi sohbet etti.
Washington’un Batı Bölgesi’nin ABD avukatı Nicholas W. Brown bir kanuni dosyasında “Yaptıkları genel olarak ‘araştırma’ olarak nitelendirilebilse bile, iyi niyetle hareket etmedi” diye yazdı. “Hem para kazanmak hem de bilgisayar korsanlığı topluluğunda ve ötesinde ün kazanmak için motive oldu.”
Bazı güvenlik araştırmacıları, Bayan Thompson’ın Capital One’ın sistemlerine beyaz şapkalı bir bilgisayar korsanı olarak kabul edilemeyecek kadar fazla girdiğini söyledi.
Siber güvenlik firması Sophos’ta baş araştırma bilimcisi olan Chester Wisniewski, “Meşru insanlar, aralık görünüyorsa bir kapıyı iterek açarlar” dedi.
Güvenlik araştırmacılarının, tespit ettikleri güvenlik açıklarını test etmeleri, sorunları şirketlere bildirmeden önce, düzeltilebilmeleri için sorunları ortaya çıkaran kusurlara neden olduklarını mühlet yapmaları alışılmadık bir durum değildir. Ancak Bay Wisniewski, binlerce dosya indirmenin ve bir kripto para madenciliği operasyonu kurmanın “güvenlik testi sırasında gerçekleşmeyen kasıtlı olarak kötü niyetli eylemler” olduğunu söyledi.
Bayan Thompson, mahkeme kayıtlarına göre uyum sağlamakta zorlandığı, ancak bilgisayarlarda başarılı olduğu Arkansas’ta büyüdü. Liseyi bıraktı ve sonunda gelişen bir teknoloji uzmanları topluluğuna katılacağı ve bir cinsiyet geçişine başlayacağı Seattle’a taşınmayı planladı.
2005 yılında, 20 yaşına gelmeden önce, Bayan Thompson zaten bir dizi yazılım geliştirme işinde çalışıyordu. 2015 yılında online perakende devinin bulut bilişim kanadı olan Amazon Web Services’de bir iş buldu ve bir yıldan biraz fazla bir süre orada çalıştı. Ancak Bayan Thompson, zaman zaman zihinsel sağlığı ile mücadele etti ve zaman zaman teknoloji endüstrisindeki akranlarından yabancılaştığını hissetti, geçişini kabul etmediğinden endişelendi, sosyal medyada ve kişisel bir blogda yazdı.
Tıpkı Amazon’un milyonlarca fiziksel ürünü baş döndürücü bir dizi depoda depolaması gibi, Amazon Web Services, sunucularında yer kiralayan diğer şirketler için çok miktarda veri barındırır. . Müşterileri arasında Capital One vardı.
2019’un başlarında, Amazon Web Services için çalışmayı bıraktıktan birkaç yıl sonra, Bayan Thompson, verilerini korumak için güvenlik duvarlarını düzgün şekilde kurmamış müşterilerini aradı. Bay Brown bir meşru dosyalamada “Thompson, güvenlik açıkları arayan on milyonlarca AWS müşterisini taradı” diye yazdı. Savcı, Mart ayına kadar Capital One’dan veri indirmesine izin veren bir güvenlik açığı keşfettiğini ekledi.
Kanunî dosyalamalarına göre, Bayan Thompson, Haziran 2019’da bir kadına çevrimiçi mesajlar gönderdi ve bulduklarını ifşa etti. Bayan Thompson, veriyi bir dolandırıcıyla paylaşmayı düşündüğünü de sözlerine ekledi ve ihlale karıştığını kamuoyuna açıklayacağını söyledi.
Bayan Thompson, mahkeme kayıtlarında yer alan çevrimiçi sohbetin kopyalarında, veriyi alenen serbest bırakma ve kendini ifşa etme planına atıfta bulunarak, “Temelde kendimi bir bomba yeleğiyle bağladım” dedi.
Savcılar, kadının Bayan Thompson’ın yetkililere teslim olmasını önerdiğini söyledi. Bir ay sonra kadın Capital One ile temasa geçti ve bankaya ihlali anlattı. Capital One, kolluk kuvvetlerini bilgilendirdi ve Bayan Thompson, Temmuz 2019’un sonlarında tutuklandı. Suçlu bulunursa, 30 yıldan fazla hapis cezasıyla karşı karşıya kalabilir.
“Hükümet tarafından sunulan anlık görüntüler, daha adil bir şekilde hayatta kalma ve dayanıklılık olarak tanımlanan bir hayatın eksik ve yanlış bir tasviridir”, Bayan Thompson’ı ve diğer kanuni üyelerini temsil eden bir avukat olan Mohammad Ali Hamoudi ekip bir dosyaya yazdı. Bayan Thompson’ın akıl sağlığı tedavisi aradığını ve sorunlarıyla yüzleşme kararlılığını gösterdiğini eklediler.
2020’de Capital One, federal banka düzenleyicilerinden, müşterilerin verilerini korumak için gereken güvenlik protokollerinden yoksun olduğu iddialarını çözmek için 80 milyon dolarlık hisse vermeyi kabul etti. Anlaşma ayrıca bankanın güvenliğini artırmak için hızlı çalışmasını gerektirdi. Aralık ayında Capital One, verileri ihlale maruz kalan kişilere 190 milyon dolar hisse vermeyi kabul ederek bir toplu dava açtı.
Amerika Birleşik Devletleri’ndeki en büyük veri ihlallerinden birinin ifşa edilmesinden yaklaşık üç yıl sonra, müşterilerin kişisel bilgilerini Capital One’dan çalmakla suçlanan eski Amazon çalışanı, test edecek bir davada yargılanıyor. Amerikan korsanlıkla mücadele yasasının gücü.
Paige Thompson, Seattle’da yazılım mühendisi olarak çalıştı ve diğer programcılar için çevrimiçi bir topluluk yönetti. Adalet Bakanlığı, 2019 yılında 100 milyondan fazla Capital One müşterisine ait kişisel bilgileri indirdiğini söyledi.
Veri, kredi kartı başvurularından geldi ve 140.000 Sosyal Güvenlik numarası ve 80.000 banka hesap numarasını içeriyordu. Salı günü Seattle’da başlayan federal bir davada 10 adet bilgisayar dolandırıcılığı, elektronik dolandırıcılık ve kimlik hırsızlığıyla karşı karşıya.
Bayan Thompson’ın bilgiyi keşfetmek için kullandığı yöntemler ve bununla ne yapmayı planladığı davada yakından incelenecektir. 36 yaşındaki Bayan Thompson, bir bilgisayara yetkisiz erişimi yasaklayan Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası olarak bilinen bir bilgisayar korsanlığı karşıtı yasayı ihlal etmekle suçlanıyor. Bayan Thompson suçsuz olduğunu iddia etti ve avukatları, çevrimiçi güvenlik açıklarını taramak ve açığa çıkanları keşfetmek gibi eylemlerinin “acemi bir beyaz şapkalı hacker” olduğunu söylüyor.
Bilgisayar dolandırıcılığı yasasını eleştirenler, yasanın çok geniş olduğunu ve çevrimiçi sistemlerdeki güvenlik açıklarını keşfeden veya dijital anlaşmaları iyi huylu yollarla, örneğin bir bilgisayarda takma ad kullanmak gibi ihlal eden kişilere karşı kovuşturma yapılmasına izin verdiğini savundu. Kullanıcıların gerçek adlarını kullanmalarını gerektiren sosyal medya sitesi.
Son yıllarda mahkemeler uzlaşmaya başladı. Yargıtay, geçen yıl yasanın kapsamını daralttı ve veriye meşru erişimi olan ancak erişimlerini uygunsuz bir şekilde kullanan kişileri kovuşturmak için kullanılamayacağına karar verdi. Ve Nisan ayında, bir federal temyiz mahkemesi, web kazıma olarak bilinen web sitelerinden otomatik veri toplamanın yasayı ihlal etmediğine karar verdi. Geçen ay Adalet Bakanlığı savcılara, “iyi niyetli güvenlik araştırması” yapan bilgisayar korsanlarını takip etmek için artık yasayı kullanmamaları gerektiğini söyledi.
Bayan Thompson’ın duruşması, güvenlik araştırmacılarının eylemleri kanunu çiğnemeden önce siber güvenlik kusurlarının peşinde ne kadar ileri gidebileceklerine dair soruları gündeme getirecek. Savcılar, Bayan Thompson’ın topladığı bilgileri kimlik hırsızlığı için kullanmayı planladığını ve kripto para madenciliği yapmak için kurumsal sunuculara erişiminden yararlandığını söyledi. Ancak avukatları, Bayan Thompson’ın Capital One’ın veri depolama sistemindeki kusurları keşfetmesinin, meşru güvenlik araştırmacıları tarafından kullanılan uygulamaların aynısını yansıttığını ve suç faaliyeti olarak değerlendirilmemesi gerektiğini savundu.
“Bir kanunu o kadar geniş yorumluyorlar ki, masum olan ve toplum olarak desteklememiz gereken, güvenlik araştırmacılarının internete girip onu daha güvenli hale getirmeye çalıştığı davranışları yakalıyorlar” dedi Brian Klein , Bayan Thompson için bir avukat. Bay Klein, yasanın “nelerin başını belaya sokabileceğine ve neyin başını belaya sokamayacağına dair insanlara pek fazla görünürlük sağlamıyor” diye ekledi.
Adalet Bakanlığı, Bayan Thompson’ın Capital One’ın güvenlik açığını kapatmasına yardım etmekle ilgilenmediğini ve “beyaz şapkalı” sayılamayacağını savundu. “hacker. Bunun yerine, kanuni kayıtlarına göre, ihlalden nasıl kazanç elde edebileceği konusunda arkadaşlarıyla çevrimiçi sohbet etti.
Washington’un Batı Bölgesi’nin ABD avukatı Nicholas W. Brown bir kanuni dosyasında “Yaptıkları genel olarak ‘araştırma’ olarak nitelendirilebilse bile, iyi niyetle hareket etmedi” diye yazdı. “Hem para kazanmak hem de bilgisayar korsanlığı topluluğunda ve ötesinde ün kazanmak için motive oldu.”
Bazı güvenlik araştırmacıları, Bayan Thompson’ın Capital One’ın sistemlerine beyaz şapkalı bir bilgisayar korsanı olarak kabul edilemeyecek kadar fazla girdiğini söyledi.
Siber güvenlik firması Sophos’ta baş araştırma bilimcisi olan Chester Wisniewski, “Meşru insanlar, aralık görünüyorsa bir kapıyı iterek açarlar” dedi.
Güvenlik araştırmacılarının, tespit ettikleri güvenlik açıklarını test etmeleri, sorunları şirketlere bildirmeden önce, düzeltilebilmeleri için sorunları ortaya çıkaran kusurlara neden olduklarını mühlet yapmaları alışılmadık bir durum değildir. Ancak Bay Wisniewski, binlerce dosya indirmenin ve bir kripto para madenciliği operasyonu kurmanın “güvenlik testi sırasında gerçekleşmeyen kasıtlı olarak kötü niyetli eylemler” olduğunu söyledi.
Bayan Thompson, mahkeme kayıtlarına göre uyum sağlamakta zorlandığı, ancak bilgisayarlarda başarılı olduğu Arkansas’ta büyüdü. Liseyi bıraktı ve sonunda gelişen bir teknoloji uzmanları topluluğuna katılacağı ve bir cinsiyet geçişine başlayacağı Seattle’a taşınmayı planladı.
2005 yılında, 20 yaşına gelmeden önce, Bayan Thompson zaten bir dizi yazılım geliştirme işinde çalışıyordu. 2015 yılında online perakende devinin bulut bilişim kanadı olan Amazon Web Services’de bir iş buldu ve bir yıldan biraz fazla bir süre orada çalıştı. Ancak Bayan Thompson, zaman zaman zihinsel sağlığı ile mücadele etti ve zaman zaman teknoloji endüstrisindeki akranlarından yabancılaştığını hissetti, geçişini kabul etmediğinden endişelendi, sosyal medyada ve kişisel bir blogda yazdı.
Tıpkı Amazon’un milyonlarca fiziksel ürünü baş döndürücü bir dizi depoda depolaması gibi, Amazon Web Services, sunucularında yer kiralayan diğer şirketler için çok miktarda veri barındırır. . Müşterileri arasında Capital One vardı.
2019’un başlarında, Amazon Web Services için çalışmayı bıraktıktan birkaç yıl sonra, Bayan Thompson, verilerini korumak için güvenlik duvarlarını düzgün şekilde kurmamış müşterilerini aradı. Bay Brown bir meşru dosyalamada “Thompson, güvenlik açıkları arayan on milyonlarca AWS müşterisini taradı” diye yazdı. Savcı, Mart ayına kadar Capital One’dan veri indirmesine izin veren bir güvenlik açığı keşfettiğini ekledi.
Kanunî dosyalamalarına göre, Bayan Thompson, Haziran 2019’da bir kadına çevrimiçi mesajlar gönderdi ve bulduklarını ifşa etti. Bayan Thompson, veriyi bir dolandırıcıyla paylaşmayı düşündüğünü de sözlerine ekledi ve ihlale karıştığını kamuoyuna açıklayacağını söyledi.
Bayan Thompson, mahkeme kayıtlarında yer alan çevrimiçi sohbetin kopyalarında, veriyi alenen serbest bırakma ve kendini ifşa etme planına atıfta bulunarak, “Temelde kendimi bir bomba yeleğiyle bağladım” dedi.
Savcılar, kadının Bayan Thompson’ın yetkililere teslim olmasını önerdiğini söyledi. Bir ay sonra kadın Capital One ile temasa geçti ve bankaya ihlali anlattı. Capital One, kolluk kuvvetlerini bilgilendirdi ve Bayan Thompson, Temmuz 2019’un sonlarında tutuklandı. Suçlu bulunursa, 30 yıldan fazla hapis cezasıyla karşı karşıya kalabilir.
“Hükümet tarafından sunulan anlık görüntüler, daha adil bir şekilde hayatta kalma ve dayanıklılık olarak tanımlanan bir hayatın eksik ve yanlış bir tasviridir”, Bayan Thompson’ı ve diğer kanuni üyelerini temsil eden bir avukat olan Mohammad Ali Hamoudi ekip bir dosyaya yazdı. Bayan Thompson’ın akıl sağlığı tedavisi aradığını ve sorunlarıyla yüzleşme kararlılığını gösterdiğini eklediler.
2020’de Capital One, federal banka düzenleyicilerinden, müşterilerin verilerini korumak için gereken güvenlik protokollerinden yoksun olduğu iddialarını çözmek için 80 milyon dolarlık hisse vermeyi kabul etti. Anlaşma ayrıca bankanın güvenliğini artırmak için hızlı çalışmasını gerektirdi. Aralık ayında Capital One, verileri ihlale maruz kalan kişilere 190 milyon dolar hisse vermeyi kabul ederek bir toplu dava açtı.