Een vrouw uit de Amerikaanse stad Seattle die ervan verdacht wordt de persoonsgegevens van honderd miljoen Amerikaanse en zes miljoen Canadese klanten te hebben gestolen van het Amerikaanse bedrijf Capital One is afgelopen maandag door de FBI gearresteerd. Capital One is gespecialiseerd in leningen, spaarproducten en creditcards.

De data werd buitgemaakt tussen 12 maart en 17 juli van dit jaar en zou door de dader deels op ontwikkelaarsplatform GitHub zijn gezet. Of anderen deze gegevens hebben gekopieerd, is niet bekend.

De dader heeft onder meer de contactinformatie, kredietlimieten, kredietwaardigheid, afbetalingsgeschiedenis en banksaldi in kunnen zien. Fragmenten van transactiedata zijn eveneens gelekt, al blijft de schaal waarop relatief beperkt; het gaat om stukken data verspreid over 23 dagen tussen 2016 en 2018.

Geen creditcardgegevens gestolen

Volgens Capital One heeft de hacker geen creditcardgegevens buitgemaakt, maar zijn er van de Amerikaanse klanten wel 140.000 burgerservicenummers ingezien. Voor 80.000 klanten geldt dat er aan de creditcard gekoppelde bankrekeningnummers zijn ingezien. Voor één miljoen Canadese klanten geldt dat hun burgerservicenummer is buitgemaakt.

De bank gaat getroffenen individueel benaderen en heeft laten weten dat hun accounts gratis worden gecontroleerd op verdachte, frauduleuze activiteiten. Daarnaast biedt Capital One ondersteuning bij bescherming tegen identiteitsfraude.

Kosten nasleep kunnen hoog oplopen

De bank reserveert een bedrag tot 150 miljoen dollar om het datalek af te handelen. Door misbruik te maken van een verkeerde configuratie van een webapplicatie kon de 33-jarige vrouw bij de gegevens komen, al stelt de bank in haar verklaring wel dat er zeer geavanceerde kennis voor nodig is om via deze manier binnen te komen. Ze riskeert maximaal vijf jaar celstraf en een geldboete van 250.000 dollar.

Bron: ANP / NRC.nl / BNR.nl / Capital One