Amerikansk storbank udsat for massivt databrud: Oplysninger om 106 mio. bankkunder stjålet

En tidligere computeringeniør er blevet arresteret for at have hacket og stjålet personlige informationer fra flere end 100 mio. kunder i den amerikanske bankgruppe Capital One. Det omfattende databrud sætter spørgsmålstegn ved, hvordan virksomheder bedst forsvarer sig mod hackere, og om Danmark er udsat for lignende angreb.

Den 33-årige hacker bag databruddet i Capital One, Paige Thompson, har tidligere været ansat som softwareingeniør hos Amazon Web Services, der leverer serverplads til storbanken. Bruddet sætter spørgsmålstegn ved, om Danmark kan rammes af lignende angreb. Fold sammen
Læs mere
Foto: Johannes Eisele/AFP/Ritzau Scanpix

Et omfattende databrud i den amerikanske storbank Capital One har resulteret i, at personlige oplysninger om ca. 106 mio. kunder på tværs af USA og Canada er blevet stjålet og misbrugt. De personlige oplysninger inkluderer navne, adresser og telefonnumre på folk, der har ansøgt om bankens kreditkort og andre produkter.

Det skriver BBC News.

»Selv om jeg er taknemmelig for, at den skyldige er blevet fanget, er jeg ked af det, der er sket. Jeg undskylder dybt for den forståelige bekymring, som denne hændelse må have forårsaget de berørte, og jeg er opsat på at rette op på det,« siger Richard Fairbank, formand for Capital One.

Hacker var tidligere Amazon-ansat

Det amerikanske justitsministerium har bekræftet, at den 33-årige softwareingeniør Paige Thompson er blevet arresteret i delstaten Seattle og sigtet for databruddet. Ifølge The New York Times var Paige Thompson tidligere ansat i Amazon Web Services, der lagde serverplads til Capital One, og hun udnyttede en »konfigurationsfejl« i serveren til at kommunikere med den og dermed tiltuske sig kundernes data.

Bruddet, der blev opdaget af Capital One 19. juli, havde desuden indvirkning på, at omkring 140.000 amerikaneres personlige identifikationsnumre og 80.000 bankkonti blev brudt. I Canada blev omkring en million forsikringsoplysninger knyttet til konti hos Capital One ligeledes stjålet. Derudover formåede Paige Thompson også at få fat i kredittal, betalingshistorik, overførsler og kontaktinformationer på bankens kunder, skriver BBC News.

Paige Thompson vil blive afhørt i retten i Seattle 1. august. Hun står til at blive idømt maks. fem års fængsel og en bøde på 250.000 dollar eller omkring 1,7 mio. kr., skriver BBC News. Capital One mener ikke, at informationerne er blevet brugt til svindel, og ifølge Amazon har de ikke fundet noget, der tyder på, at deres egne tjenester er blevet kompromitteret, skriver The New York Times.

Danmark: Hvor udsatte er vi?

Databruddet stiller spørgsmålet om, hvorvidt lignende former for angreb mod virksomheder kan ske herhjemme. Ifølge Center for Cybersikkerhed er truslen mod Danmark stadigvæk stor, og i sin seneste offentliggørelse for cybertruslen mod Danmark 2019 anslår centret, at truslen om cyberkriminalitet fortsat er på et højt niveau, og at banker er særligt udsatte. Således blev tre danske banker, Saxo Bank, Danske Bank og en tredje større dansk bank, mål for et stort internationalt hackerangreb, der i 2017 blevet rettet mod i alt 100 finansielle virksomheder i 30 forskellige lande.

Men ifølge Henning Mortensen, der er formand for Rådet for Digital Sikkerhed, står Danmark faktisk ret stærkt, når det kommer til digital sikkerhed i bankerne. Det skyldes især, at de er gode til at følge basale sikkerhedsråd såsom at opdatere deres systemer og håndtere data korrekt.

»Man kan sige det sådan, at der ikke findes 100 pct. sikkerhed, og at der for en bank altid vil være en risiko for, at man kan blive kompromitteret. Men den danske banksektor er ret moden og har ret godt styr på datasikkerhed. Så jeg ser ikke nogen tegn på, at danske bankkunder bør være bange for at blive udsat for det, der skete i Capital One,« siger Henning Mortensen.

Når man kigger på den lange liste over nylige databrud i USA, kan man få det indtryk, at amerikanske virksomheder ikke formår at beskytte sig mod cyberangreb. For Henning Mortensen er den store forskel dog, at amerikanske virksomheder er større, og at de derfor bliver et oplagt mål, hvilket også gælder for Danmark. Henning Mortensen peger i denne forbindelse på Mærsk, der i 2017 blev ramt af et stort cyberangreb.

Ifølge CSIS Security Group, der er en privat virksomhed inden for cybersikkerhed, er der i Danmark derimod været flere tilfælde af såkaldt CEO fraud, hvor hackere fisker brugernavne og password ud af ledende medarbejdere i nøje udvalgte mindre virksomheder for derefter at misbruge adgangen til at rette kontakt til regnskabsmedarbejdere eller andre centrale personer i samme virksomhed. CEO fraud er særligt fremme i sommerferien, og derfor er det vigtigt, at danske virksomheder løbende opdaterer deres sikkerhedsprocedurer og programmer samt har en klar strategi, hvis uheldet er ude.

»I forhold til CEO fraud handler det om at have nogle klare procedurer, som man følger i virksomheden, såsom at kun én medarbejder står for overførsler. Med relativt simple tiltag kan man sænke sin risikoprofil markant, hvilket også gælder for bankerne,« siger Henning Mortensen.