Capital One condamné à payer une amende de 80 millions de dollars pour son rôle dans une violation de données en 2019

Capital One paiera une sanction civile de 80 millions de dollars pour son rôle dans une faille de sécurité de 2019 qui a exposé les données personnelles de plus de 100 millions de clients, Le journal de Wall Street signalé. Dans un rapport cinglant sur son enquête sur la violation, le Bureau du contrôleur de la monnaie, qui fait partie du Trésor américain. a déclaré que Capital One savait que ses pratiques en matière de sécurité étaient terriblement insuffisantes et que le conseil d’administration de la société «n’avait pas pris de mesures efficaces pour tenir la direction responsable».

La brèche s’est produite en mars et avril 2019, mais Capital One n’était apparemment au courant du problème qu’à la mi-juillet. C’est à ce moment-là que quelqu’un a dirigé l’entreprise vers une page GitHub publique sur laquelle des données privées de Capital One étaient disponibles. Cela a conduit les enquêteurs à l’ancien employé du cloud d’Amazon Paige Thompson, qui a été accusé de fraude électronique et de fraude informatique. Les autorités affirment que Thompson a pu exploiter une «vulnérabilité de configuration» pour extraire les informations des clients de Capital One et les publier sur des babillards électroniques. Elle a plaidé non coupable des accusations et son procès est prévu pour l’année prochaine.

«L’OCC a pris ces mesures en raison de l’incapacité de la banque à établir des processus d’évaluation des risques efficaces avant de migrer d’importantes opérations informatiques vers l’environnement de cloud public et de l’incapacité de la banque à corriger les lacunes en temps opportun», a déclaré l’OCC dans un communiqué annonçant la penalité.

Voir aussi :  Le mystérieux monolithe de l'Utah a disparu

Dans le cadre d’une ordonnance de consentement de l’OCC, Capital One doit établir un comité de conformité d’ici la fin d’août, qui se réunira tous les trimestres à partir d’octobre et fournira des mises à jour régulières. L’entreprise doit créer un plan d’action pour détailler les mesures qu’elle prend pour améliorer la sécurité.

La pénalité sera payée au département du Trésor. Capital One n’a pas immédiatement répondu à une demande de commentaire samedi.