إعلان مصرف «كابيتال وان»، أحد أكبر المصارف الأميركية، أن حسابات ومعلومات شخصية لأكثر من 100 مليون شخص من عملاء البنك، قد تعرضت للقرصنة، أثار نقاشاً ومخاوف حول الأمن الإلكتروني للمؤسسات المالية الكبرى في الولايات المتحدة والعالم.
وبحسب تقارير رسمية، فإن الشركات المالية الكبرى تحبط مئات الآلاف من الهجمات الإلكترونية يومياً. وبينما يحالف الحظ بعضهم، فقد تبين أن معظم هؤلاء المتسللين، يسعون إلى بيع تلك المعلومات أو لإظهار تفوقهم على أقرانهم، أو حتى على خبراء الأمن في دول أجنبية.
بنك «كابيتال وان» كان آخر الضحايا لتلك الهجمات، حيث كل ما يحتاج إليه المتسلل الذكي نقطة ضعف واحدة. وغالباً ما يعثر عليها، كما حصل هذا العام، حيث وقع 3494 هجوماً إلكترونياً ناجحاً ضد المؤسسات المالية، وفقاً لتقرير شبكة ملاحقة الجرائم المالية في وزارة الخزانة الأميركية.
وأعلن محققون فيدراليون، الاثنين الماضي، أن بيغ تومسون، وهي مهندسة برمجيات في سياتل، كانت تعمل في «أمازون»، دخلت إلى الشبكة الإلكترونية لـ«كابيتال وان»، من خلال ثغرة أمنية في تكوين برنامج الحماية.
وفور ولوجها إلى الشبكة تمكنت من تنزيل كثير من المعلومات الشخصية للعملاء، بما في ذلك تطبيقات بطاقات الائتمان وأرقام الضمان الاجتماعي، وفقاً لوثائق المحكمة التي نشرت في وسائل الإعلام الأميركية.
وقال خبراء إن الخطأ البرمجي البسيط الذي وقع في برنامج الحماية في «كابيتال وان»، هو أمر شائع، وإن الخبراء سيعالجون أخطاء مماثلة، لكن الأمر يشكل أزمة حقيقية.
آلاف من محاولات القرصنة يومياً
وبحسب تقرير مكافحة الجرائم المالية في وزارة الخزانة، فقد كافح «ماستركارد»، على سبيل المثال نحو 460 ألف محاولة اقتحام في يوم عادي، بزيادة 70 في المائة عن العام الماضي.
والهجوم الأخير على «كابيتال وان» يقرع جرس إنذار جديداً للتذكير بمدى تعقيد شبكات الكومبيوتر في المؤسسات المالية الكبرى، فضلاً عن ضعفها.
وعلى مدى السنوات القليلة الماضية، تعرضت شركات من بينها «إيكويفاكس» للتصنيف الائتماني و«مورغان ستانلي» لهجمات قرصنة بطرق مختلفة.
وفي بعض الحالات استغل المتسللون كلمات المرور الضعيفة أو أرسلوا رسائل بريد إلكتروني مزيفة محملة برمز الكومبيوتر الضار، الذي ساعدهم على الوصول إلى داخل الشبكة. وفي حالات أخرى، قاموا بالبحث عن البرامج التي لم يتم تحديثها بأحدث تطبيقات الأمان. بعض تلك الجهود استغرق تنفيذها ساعات وبعضها الآخر استغرق بضعة أشهر.
وقال توم كيليرمان، كبير مسؤولي الأمن السيبراني في شركة «كاربون بلاك» المتخصصة في صنع برامج أمنية، «إن أفضل المتسللين في العالم يخرقون هذه البنوك، وهو سباق تسلُّح كامل». وأضاف أنه من غير الواضح أي نوع من المعلومات الداخلية ساعد السيدة تومسون على اختراق حسابات «كابيتال وان»، كما يزعم المحققون الفيدراليون.
وأوضح أنه رغم أن سيرتها الذاتية تشير إلى أن لديها مهارات في البرمجة، فإنه لا يبدو أن خرق الأنظمة الإلكترونية في البنك كان عبر جهود متطورة بشكل خاص.
وبحسب المحققين، فقد عملت تومسون قبل ثلاث سنوات، في الخدمات السحابية لموقع شركة «أمازون»، التي تستضيف بيانات «كابيتال وان». لكنها تركت الشركة قبل فترة طويلة من الاختراق.
وتدير شركة «أمازون» الشبكة الخاصة بالبنك، الذي قرر بعد اليوم أن يقوم بإدارة البرنامج الذي اخترقته تومبسون بنفسه.
كيف تم اخترق البنك؟
استخدمت «تومسون» ثغرة في برنامج جدار الحماية الخاص بالمصرف، الذي يعمل بوابةً رقميةً، للحصول على البيانات الأمنية للاعتمادات، بحسب المحكمة. وتمكّنت من الوصول إلى سجلات العملاء المخزنة في الخدمة السحابية لـ«أمازون» من عام 2005 وحتى 2019.
وبحسب سجلات رسمية لغرفة مقاصة حقوق الخصوصية فقد سجل أكثر من 11 مليار خرق للبيانات منذ عام 2005. وفي السنوات الأخيرة تم الحصول على ذاكرة تخزين مؤقتة ضخمة من البيانات الحساسة من ملفات شركة «أنثيم» للرعاية الصحية، وسجلات شركة «إيكويفاكس» للائتمان، ووثائق الرهن العقاري التي تحتفظ بها شركة خدمات «فيرست أميركان» وحسابات شركة «ياهو» وحتى سجلات التوظيف الفيدرالية.
وقد ارتفع متوسط تكلفة اختراق الأمان في الولايات المتحدة في السنوات الأخيرة إلى 8.2 مليون دولار، وفقاً لدراسة أجرتها شركة «آي بي إم سيكيوريتي»، ومعهد «بونيمون إنستيتيوت».
وقد ترتفع التكلفة على المؤسسات الكبيرة مثل «كابيتال وان»، لا سيما عندما تؤخذ الدعاوى القضائية وغرامات الجهات التنظيمية في الاعتبار.
وقالت شركة «إيكويفاكس» للائتمان، الأسبوع الماضي، إنها ستدفع نحو 650 مليون دولار، وربما أكثر لتغطية معظم المطالبات الناجمة عن الخرق الأمني لسجلات أكثر من 147 مليون أميركي، عام 2017.
وقال بنك «كابيتال وان»، إنه يُتوقع إنفاق 100 مليون دولار على الأقل هذا العام لتغطية الانتهاك الذي تعرض له، وسيتم تعويض جزء منها عن طريق التأمين السيبراني للبنك، الذي يمكنه أن يغطي خسائر تصل إلى 400 مليون دولار.
وقد رُفعت دعوى جماعية، يوم الثلاثاء، على البنك من قبل الزبائن المتضررين. واعتبر الاختراق أمراً محرجاً للبنك الذي يصنف نفسه بين المؤسسات المالية الكبيرة التي نقلت أنظمتها إلى الحوسبة السحابية، ويفاخر بنهجه المتطور.
وأعلن كبير مسؤولي المعلومات في البنك في تصريحات سابقة، ديسمبر (كانون الأول) الماضي، أن «كل شيء جديد، ونركز بالكامل على الانتقال إلى السحابة العامة».
لكن خبراء الأمن السيبراني تساءلوا عن سبب عدم تمكن الدفاعات الأمنية للبنك من رصد اقتحام السيدة تومسون، حيث إن معظم المؤسسات المالية تستخدم تقنية تمكّنها من اكتشاف أنماط سلوك غير عادية تشير إلى أن المهاجم يحاول سرقة المعلومات من البنك.
وبحسب وسائل إعلام أميركية، فقد علم «كابيتال وان» عن حصول الاختراق من شخص غريب بعد ثلاثة أشهر على وقوعه. وورد للبنك رسالة إلكترونية تبلغه بالبيانات المسربة المنشورة على منصة الترميز «غيت هوب» وفقاً لأوراق المحكمة. تقول الرسالة: «اسمح لي بأن أعرف إذا كنت تريد المساعدة في تعقب من قام بالتسريب»، وهو ما قرع ناقوس الخطر في البنك.
