De Amerikaanse bank Capital One is getroffen door een van de grootste datahacks ooit bij een bank. Persoonlijke data en betaalgegevens van zo’n 100 miljoen Amerikaanse en zes miljoen Canadese klanten zijn buitgemaakt, erkent het bedrijf. Van ruim een miljoen Canadezen en 140.000 Amerikanen is het burgerservicenummer gestolen.
Verder gaat het om persoonlijke gegevens van consumenten en kleine bedrijven uit de periode van 2005 tot 2019. De hack was in maart en werd onlangs ontdekt. Volgens de bank zijn creditcardnummers, pincodes en inlogdata niet in verkeerde handen gevallen. Capital One, de zevende grootste commerciële bank van de VS, noemt het onwaarschijnlijk dat er gegevens voor fraude zijn gebruikt.
De data stonden op een cloudserver van Amazon Web Services. De hoofdverdachte is een voormalige medewerker van deze dienst. De 33-jarige vrouw is in Seattle aangehouden door de FBI. Ze zou gebruik hebben gemaakt van een veiligheidslek in de webapplicatie. Een ‘zeer kundig individu’ heeft deze fout uitgebuit, schrijft de bank in een verklaring.
De vrouw schepte online op over haar daad, blijkt uit juridische documenten. Ze zou onder een pseudoniem op Twitter de bank hebben benaderd. In deze berichten zou ze gedreigd hebben de persoonlijke gegevens van klanten bekend te maken.
De verdachte kan een celstraf vijf jaar en een boete van 250.000 dollar krijgen opgelegd. Amazon Web Services heeft geen aanwijzingen dat het onderliggende systeem is aangetast door de hack.