Адвокаты трансгендера Пейдж Томпсон утверждали, что она искала уязвимости информационной безопасности крупнейшего банка Штатов, чтобы их можно было исправить. Однако присяжные в пятницу (17 июня) признали ее виновной в мошенничестве и хакерских атаках.
В Сиэтле суд присяжных установил, что 36-летняя Пейдж Томпсон нарушила закон США о борьбе с хакерскими атаками, запрещающий доступ к компьютеру без разрешения. При этом присяжные сочли ее невиновной в краже личных данных и мошенничестве с устройствами доступа.
Возможность этичного хакинга
Томпсон (на фото) работала инженером-программистом и руководила онлайн-сообществом для других работников своей отрасли. В 2019-м она скачала личную информацию, принадлежащую более чем 100 миллионам клиентов Capital One. Ее адвокаты заявили, что она использовала те же инструменты и методы, что и этичные хакеры, целью которых является обнаружение уязвимостей в программном обеспечении различных организаций и последующее информирование владельцев об этом, чтобы те могли исправить уязвимости.
Но представители американского Минюста сообщили, что Томпсон не намеревалась сообщать Capital One о проблемах, давших ей доступ к данным клиентов, и что она хвасталась своим онлайн-друзьям об обнаруженных ею уязвимостях и скачанной информации. Томпсон также воспользовалась своим незаконным доступом к серверам банка ради майнинга криптовалюты.
«Ей нужны были данные, ей нужны были деньги, и она хотела похвастаться», — заявил в заключительной речи помощник прокурора Эндрю Фридман.
Дело Пейдж Томпсон привлекло внимание технологической отрасли США из-за выдвинутых обвинений в соответствии с законом, направленным на противодействие хакерским атакам. Критики этого закона утверждают, что его нормы слишком широки и позволяют преследовать так называемых белых хакеров. В прошлом месяце американский Минюст выдал распоряжение прокурорам Штатов, чтобы те более не использовали нормы закона для преследования хакеров, занимающихся «добросовестными исследованиями в области безопасности».
Присяжные совещались в течение 10 часов, прежде чем признать Томпсон виновной по пяти пунктам обвинения в получении несанкционированного доступа к защищенному компьютеру и причинении ему ущерба, в дополнение к обвинениям в мошенничестве с использованием электронных средств связи. Ожидается, что приговор ей будет вынесен 15 сентября.
Обстоятельства взлома
В Capital One хакерский взлом обнаружили в июле 2019-го, после того, как женщина, общавшаяся в интернет-сообществе с Томпсон о загруженных ею данных, сообщила о проблеме службе безопасности банка. В свою очередь Capital One передал информацию в ФБР, вскоре после этого хакерша была арестована.
Федеральные регуляторы заявили, что у Capital One недостаточные меры безопасности, чтобы защитить данные клиентов. В 2020 году банк согласился выплатить $80 для урегулирования этих претензий. В конце 2020-го он также согласился выплатить $190 людям, чьи данные были раскрыты в результате взлома.
«Томпсон использовала свои хакерские навыки, чтобы украсть личную информацию более 100 миллионов человек и взломать компьютерные серверы для майнинга криптовалюты», — заявил прокурор Николас Браун (Западный округ Вашингтона). «Далекая от того, чтобы быть этичным хакером, пытающимся помочь компаниям с их компьютерной безопасностью, она использовала их ошибки для кражи ценных данных и стремилась обогатиться на этом».