元アマゾンエンジニアペイジトンプソンは、顧客のクラウドシステムハックで有罪判決

ジャカルタ - アマゾン ウェブ サービス (AWS) の元エンジニアが、顧客のクラウド ストレージ システムにハッキングした罪で有罪判決を受けました。また、Capital One 2019の大規模な侵害に関連するデータも 盗みました。

シアトルの連邦地方裁判所は先週、ペイジ・トンプソンに6月17日(金)にコンピュータと電信詐欺 の7つのカウントを、最高20年の懲役刑で処罰される重罪で判決を下した。

オンラインでも「Erratic」という名前で呼ばれているトンプソンは、2019年7月にキャピタルワンのハッキングを犯したとして逮捕されました。この違反は、米国とカナダの1億人以上の名前、生年月日、社会保障番号、電子メールアドレス、電話番号を明らかにした、これまでに記録された最大の違反の1つでした。

キャピタル・ワンはその後、ユーザーデータの保護を怠ったとして8,000万米ドル(1.1兆ルピア)の罰金を 科され、影響を受けた顧客と和解した金額は1億9,000万米ドル(2.8  兆ルピア)に上ります。

米国司法省(DOJ)のプレスリリースによると、トンプソンはAWSをスキャンして誤ったアカウントを探し、これらのアカウントを活用してCapital Oneやその他の数十のAWS顧客のシステムにアクセスするツールを開発しました。

検察官はまた、トンプソンが同社のサーバーを「ハイジャック」して、収益を個人の暗号財布に転送する暗号化マイニングソフトウェアをインストールしたと述べた。彼はその後、オンラインフォーラムやテキストメッセージで自分の間違いを「自慢」しました。

当時、トンプソンが倫理的なハッカー(彼に弱点を伝えるためにネットワークセキュリティに侵入した)なのか、それともオンラインでのキャピタルワン攻撃における彼の役割についての彼の異常な正直さのためにセキュリティ研究者であるかについて、いくつかの議論がありました。女性はまた、GitHubの公開ページに機密性の高い顧客データを投稿し、TwitterやSlackでの侵害など の詳細を共有しました。

今年初め、司法省は、コンピュータ詐欺および乱用法の下でセキュリティ研究者を起訴しないことを明確にしました。しかし、米国の検察官は明らかにトンプソンの行動がこの例外に該当するとは考えていない。

「コンピュータのセキュリティで企業を支援しようとする倫理的なハッカーであるどころか、彼はエラーを悪用して貴重なデータを盗み、自分自身を豊かにしようとしました」と、米国の弁護士ニック・ブラウンはThe Vergeが引用した声明で述べた。トンプソンの判決公聴会は2022年9月15日に行われる。