Capital One pagará una multa civil de $ 80 millones por su papel en una violación de seguridad de 2019 que expuso los datos personales de más de 100 millones de clientes, informó The Wall Street Journal . En un informe mordaz sobre su investigación sobre la violación, la Oficina del Contralor de Moneda, parte del Tesoro de Estados Unidos. dijo que Capital One estaba consciente de que sus prácticas de seguridad eran lamentablemente insuficientes y que la junta directiva de la compañía "no tomó acciones efectivas para responsabilizar a la gerencia".
La violación ocurrió en marzo y abril de 2019 , pero Capital One aparentemente no se dio cuenta del problema hasta mediados de julio. Fue entonces cuando alguien le indicó a la empresa una página pública de GitHub donde había datos privados de Capital One disponibles. Eso llevó a los investigadores a la ex empleada de la nube de Amazon Paige Thompson, quien fue acusada de fraude electrónico y fraude informático . Las autoridades dicen que Thompson pudo explotar una "vulnerabilidad de configuración" para extraer la información de los clientes de Capital One y publicarla en foros de mensajes. Se declaró inocente de los cargos y su juicio está programado para el próximo año.
“La OCC tomó estas acciones basándose en la falla del banco en establecer procesos de evaluación de riesgos efectivos antes de migrar operaciones importantes de tecnología de la información al ambiente de nube pública y en la falla del banco en corregir las deficiencias de manera oportuna”, dijo la OCC en un comunicado anunciando la penalidad.
Como parte de una orden de consentimiento de OCC , Capital One debe establecer un comité de cumplimiento para fines de agosto, que se reunirá trimestralmente a partir de octubre y proporcionará actualizaciones periódicas. Se requiere que la empresa cree un plan de acción para detallar los pasos que está tomando para mejorar la seguridad.
Un portavoz de Capital One dijo en un correo electrónico a The Verge que los controles que la compañía puso en marcha antes del incidente del año pasado "nos permitió proteger nuestros datos antes de que la información del cliente pudiera ser utilizada o difundida y ayudó a las autoridades a arrestar rápidamente al pirata informático". Desde el incidente, agregó el portavoz, la compañía ha " invertido importantes recursos adicionales para fortalecer aún más nuestras ciberdefensas y ha logrado un progreso sustancial en el cumplimiento de los requisitos de estos pedidos".
La multa se pagará al departamento de Hacienda.
ACTUALIZACIÓN 8 de agosto a las 10:38 a.m. ET : agrega una declaración del portavoz de Capital One