Merkez bankası Salı günü yaptığı duyuruda, Federal Rezerv’in bir yıl önce 106 milyon müşterinin verilerini ifşa eden bir ihlalle ilgili olarak Capital One’a karşı 2020 yaptırım eylemini sonlandırdığını duyurdu.
“Müşteri bilgilerinin korunması Capital One için en önemli önceliktir. Capital One sözcüsü Cybersecurity Dive’a verdiği demeçte, 2020’den itibaren bu düzenleyici konuyu tamamen çözmekten memnuniyet duyuyoruz. “Müşterilerimiz için yüksek koruma standartlarımızı geliştirmeye ve kamu ve özel kurumların karşı karşıya kaldığı gelişen tehditlerin bir adım önünde olmaya kararlıyız.”
Fed’in hamlesi, Para Birimi Denetçi Ofisi’nin, Capital One’ın artık ekstra gözetim gerektirmeyen bir “güvenlik ve sağlamlık” düzeyine ulaştığını söyleyerek bankayı ayrı, ihlalle ilgili bir onay emrinden kurtarmasından 10 ay sonra geldi.
Capital One sözcüsü, finansal hizmetler kuruluşunun son dört yılda yaptığı güvenlik değişiklikleriyle ilgili sorulara yanıt vermedi.
Düzenleyici, Capital One’ın OCC’ye “önemli bilgi teknolojisi operasyonlarını genel bulut ortamına taşımadan önce etkili risk değerlendirme süreçleri oluşturmaması” ve eksiklikleri hızlı bir şekilde düzeltmemesi nedeniyle 80 milyon dolar ceza ödediğini söyledi.
Fed’in emri, Capital One’ın yönetim kurulunun, müşteri verilerini korumak için risk yönetimini ve iç kontrollerini nasıl iyileştirmeyi amaçladığını özetleyen yazılı bir plan sunmasını gerektiriyordu. Para cezası içermiyordu.
Capital One, Aralık 2021’de banka tahminlerine göre, yaklaşık 140.000 Sosyal Güvenlik numarasını ve kredi kartı müşterileriyle bağlantılı 80.000 hesap numarasını tehlikeye atan ihlalle ilgili bir toplu davayı çözmek için 190 milyon dolar ödemeyi kabul etti.
2005 ile 2019 yılları arasında yapılan kredi kartı başvurularıyla bağlantılı veriler arasında isimler, posta kodları, doğum tarihleri ve beyan edilen gelir yer alıyor. Banka, ihlalin ayrıca 2016’dan 2018’e kadar kredi puanlarını, kredi limitlerini, bakiyeleri, ödeme geçmişini ve parçalanmış işlem geçmişini de ortaya çıkardığını söyledi.
Eski bir AWS çalışanı olan Paige Thompson, Haziran 2022’de kablolu dolandırıcılıktan ve korumalı bir bilgisayara yetkisiz erişim sağlamaktan ve yanlış yapılandırılmış bir güvenlik duvarı verilere erişmesine izin verdikten sonra korunan bir bilgisayara zarar vermekten beş kez mahkum edildi.
Olay, veri ihlallerinden bir bankanın mı yoksa bulut sağlayıcısı AWS’nin mi sorumlu olduğu sorularını gündeme getirdi. Bir AWS yöneticisi, D-OR’dan Senatör Ron Wyden tarafından 2019’da yapılan bir soruşturmaya yanıt olarak, güvenlik açıklarının sorumluluğunun Capital One’a ait olduğunu söyledi.
Ancak AWS’nin ihlaldeki rolü, en az iki milletvekilini önde gelen üç bulut sağlayıcısının (AWS, Microsoft Azure ve Google Cloud) sistematik olarak önemli finansal piyasa araçları olarak kabul edilmesini talep etmeye itti.