פייג' תומפסון היאהואשם בגניבהאת הרשומות הפיננסיות של למעלה מ-100 מיליון אמריקאים, אבל חבר ותיק מתאר את עצמו אומר שהמצב הרבה יותר מסובך ממה שהוא נראה לראשונה.
משרד המשפטים ביום שניהכריזמעצרו של תומפסון, עובד לשעבר באמזון בן 33. הרשויות הפדרליות טענו ב-אתלונה פליליתשהיא ניצלה חומת אש שתצורה שגויה כדי לגשת למיליוני רשומות של לקוחות Capital One דרך שרתי חברת ענן.
"לא הייתה לה כוונת זדון והיא לא פנתה לאף אחד", התעקשה חברתה.
יצרנו קשר עם החבר, שאיננו מזהים בשמו, דרך סביבת עבודה של Slack שנמחקה כעתמופיע שישהוקם על ידי תומפסון.
בסביבת העבודה ניתן לראות מישהו העונה לשם "לא יציב" - שמשרד המשפטים טוען שהוא תומפסון - דן בקבצים הקשורים לפי הדיווחים לפריצה של Capital One. צילום מסך של שיחה זו כלול בתלונת DOJ, והצלחנו למצוא את אותה שיחה באחד מערוצי Slack שאליהם ניגשנו.
שיחת Slack הכלולה בתלונה הפלילית. קרדיט: צילום מסך / דוג'
החבר, שסיפר ל-Mashable שהם עובדים בתחום ה-IT והתוכנה החינוכית, אומר שהם שוחחו עם תומפסון כל יום "בשנתיים האחרונות". החבר שלח לנו יומנים של שיחות קודמות עם תומפסון, החל מיוני 2018, כהוכחה לידידותם. למרות שלא הצלחנו לאמת את היומנים באופן עצמאי, הם נראים אמיתיים.
חשוב לציין, החבר הסביר על סלאק אנד סיגנל שתומפסון ניסתה לדווח על הפגיעות שניצלה לכאורה - אבל אף אחד לא הקשיב.
מהירות אור ניתנת לריסוק
"היא הלכה לחברי קהילת infosec בולטים כדי לשחרר את זה באחריות והם צחקו עליה ולא לקחו אותה ברצינות", כתב החבר.
צילום מסך, שצולם על ידי Mashable, של ה-Slack שנמחק כעת. קרדיט: צילום מסך / רפיון
החבר שם חבר ספציפי בקהילת אבטחת המידע שלטענתו תומפסון ניסה להודיע לו, ויצרנו קשר עם אותו אדם בניסיון לאמת את הטענה. נכון לזמן העיתונות, לא שמענו.
לערוץ ה-Slack הספציפי בסביבת העבודה בו נדונה הפריצה היה הנושא מוגדר "לעולם אל תוותר על החלומות שלך".
"פייג' היא אישה מוכשרת ואינטליגנטית", המשיך החבר. "היא הייתה מאוד סקרנית והיה לה הרבה זמן מכיוון שהיא לא הועסקה, והיא רק חיפשה שרתי HTTP ציבוריים לא מאובטחים והגיעה לבלאגן הזה".
ה-DOJ טוען כי תומפסון דנה בפריצה בסביבת העבודה הציבורית של Slack, וכן פרסמה פרטים על ההפרה בדף GitHub הקשור לשמה האמיתי.
כשנשאל החבר אם תומפסון ניסה להודיע ל-Capital One על הפגיעות, אמר החבר שהם לא יודעים. פנינו ל-Capital One, אבל לא שמענו עד מועד העיתונות.
ראה גם:
"אילו זה היה משוחרר בערוצים המתאימים ולא צחקו עליה על ידי גורמים מסוימים בקהילת ה-infosec היא הייתה מתבשרת כמי שהביאה לידיעת נקודות תורפה שהחברות ידעו עליהן ולא הגנו עליהן", המשיך החבר. "בעיניי, הכשל האמיתי הוא בחברה שלא הגנה על נתוני הלקוח שלהם ואיפשרה לשרתים שאינם מוגדרים כהלכה להיות בייצור."
אם יורשע, תומפסון צפוי לעד חמש שנות מאסר וקנס של 250,000 דולר.
