Paige Thompson, ex-funcionária da Amazon Web Services (AWS), foi condenada em todas as sete acusações fraude financeira e computadorizada pela Corte Distrital de Seattle, em Washington, e pode pegar até 20 anos de prisão, em relação à invasão do banco Capital One, em 2019.

Thompson, mais reconhecível pelo apelido “Erratic” nas comunidades hacker, tornou-se conhecida pois, quando ainda trabalhava na AWS – o braço de serviços tecnológicos e hospedagem em nuvem da Amazon -, teria roubado dados privados de clientes da empresa. Entre esses dados, constavam diversas informações financeiras e de acesso a contas dentro do Capital One.

A invasão ao banco CapitalOne, promovida por uma ex-funcionária da AWS, afetou milhões de pessoas que tiveram seus dados vazados na internet
A invasão ao banco CapitalOne, promovida por uma ex-funcionária da AWS, afetou milhões de pessoas que tiveram seus dados vazados na internet (Imagem: Ascannio/Shutterstock)

O golpe ao Capital One foi um dos mais notórios de que se tem notícia na história recente: em 2019, Thompson aproveitou uma brecha na segurança digital do banco, efetivamente expondo nomes, datas de nascimento, números de seguridade social, e-mails e telefones de mais de 100 milhões de pessoas nos EUA e Canadá.

Na época, cortes dos dois países condenaram o banco a uma multa de US$ 80 milhões (R$ 412,31 milhões) por falhar em assegurar a proteção de seus clientes. Quanto às pessoas afetadas, o banco vinha conduzindo acordos de ressarcimento que totalizam US$ 190 milhões (R$ 979,24 milhões).

O que a ex-funcionária da AWS fez, a grosso modo, foi desenvolver uma ferramenta automatizada que escaneava os servidores da empresa em busca de contas mal configuradas pelos seus clientes – como perfis abertos sem senha ou sem métodos de verificação em dois passos (2FA) ativadas.

A partir daí, ela resgatava os dados dessas contas em busca de levantar informações dos clientes, além de “sequestrar” seus servidores para instalar ferramentas de mineração de criptomoedas. Todos os materiais e valores obtidos eram redirecionados à sua carteira pessoal – uma tecnologia protegida por segurança por blockchain. Ela acabou identificada e presa após se gabar dos feitos em fóruns online.

Há algum tempo, houve um grande debate sobre Thompson ser uma “hacktivista” (nome atribuído a hackers que expõem falhas de segurança em prol das respectivas empresas melhorarem suas proteções): por um lado, ela forneceu informações que levaram pesquisadores a ampliarem suas defesas digitais, mas por outro, ela acabou publicando a informações de muitos clientes afetados no GitHub.

O Departamento de Justiça (DOJ) dos Estados Unidos já deixou claro que não processaria pesquisadores de segurança por invadirem sistemas digitais protegidos pelo Computer Fraud and Abuse Act, a legislação vigente para casos do tipo. Convenhamos, o trabalho deles é, literalmente, “invadir para mostrar o erro” e em seguida, corrigi-lo. Há até empresas como Apple e Facebook que oferecem recompensas a pesquisadores independentes que encontrem bugs em suas plataformas.

No caso da ex-funcionária da AWS, no entanto, o DOJ entendeu que ela não era contemplada por essa exceção: “longe de ser uma hacker ética tentando ajudar empresas com suas seguranças computadorizadas, ela explorou erros humanos para roubar dados valiosos em busca do enriquecimento próprio”, disse o promotor de justiça Nick Brown, via comunicado.

A pena exata pela condenação ainda está em vias de ser decidida, mas o entendimento da Corte é o de que já não cabe mais recurso para a acusada.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!