Media za oceanem na przełomie lipca i sierpnia żyły wyciekiem danych 106 mln klientów banku Capital One. Za atakiem stała Paige Thompson, była inżynier Amazon Web Services, która wykradła dane, korzystając z luki w konfiguracji serwerów obsługujących usługi chmurowe. Pani Thompson włamała się do sieci 12 marca, ale bank wykrył incydent dopiero po 127 dniach, dzięki informacjom uzyskanym od zewnętrznego eksperta.

Co ciekawe, Capital One korzysta z usług AWS już od czterech lat. Na stronie providera można znaleźć case study opisujące wzorcową współpracę obu partnerów. „Dlaczego wybraliśmy AWS? Wierzymy, że możemy działać bezpieczniej w ich chmurze niż we własnych centrach danych”– zapewnia w materiale promującym partnerstwo Rob Alexander, pełniący w Capital One funkcję CIO.

Paige Thompson wystawiła przyjaźń partnerów na próbę. Co gorsza, zaistniała sytuacja zbulwersowała nie tylko pokrzywdzonych klientów, ale także amerykańskich polityków. Senator Ron Wyden wysłał list do Jeffa Bezosa z prośbą o dostarczenie szczegółowych informacji na temat zabezpieczeń usługi Amazona oferowanej Capital One. Pikanterii całej sprawie dodaje to, że dziura wykryta przez Paige Thompson istniała od 2014 r. Scott Piper, specjalista od bezpieczeństwa, wyznał na łamach „The Wall Street Journal”, że Amazon zrzucił odpowiedzialność za zabezpieczenie luki na klientów, którzy o takich działaniach nie zawsze pamiętają.

Z drugiej strony eksperci nie kryją zaskoczenia, że ofiarą ataku stali się właśnie klienci Capital One. Bank jest jednym z pionierów w wykorzystaniu rozwiązań cloud wśród amerykańskich instytucji finansowych. „Capital One jest znany z tego, że ma bardzo dobrych ekspertów od cyberbezpieczeństwa” – podkreśla Scott Piper. Tak czy inaczej, mleko się rozlało i część klientów za oceanem zaczyna tracić zaufanie nie tylko do instytucji finansowych, ale również dostawców usług chmurowych. Tym bardziej że opisywana historia nie jest jednostkowym przypadkiem. Ten sam Amazon ma na koncie wyciek poufnych danych dotyczących 123 mln gospodarstw domowych w USA. Z kolei Microsoft nie potrafił odpowiednio zabezpieczyć danych Deloitte przechowywanych w chmurze Azure, a niedawno musiał zmierzyć się z wyciekiem informacji klientów indywidualnych korzystających z poczty Outlook.

Wielkim skandalem zakończyła się też współpraca szwedzkiej Agencji Transportu (Transportstyrelsen) z IBM-em. Szwedzi wybrali Big Blue na dostawcę usług przechowywania danych w chmurze, co okazało się dużym błędem. Hakerzy ominęli zabezpieczenia i weszli w posiadanie m.in. informacji o operatorach służb specjalnych, zdobyli też dane osobowe i zdjęcia pilotów myśliwców oraz osób objętych programem ochrony świadków.

Jeszcze do niedawna przedstawiciele Amazona, Microsoftu czy Google’a powtarzali, że warto migrować do chmury publicznej ze względu na konkurencyjne ceny usług. Po pewnym czasie okazało się, że nie jest to takie oczywiste, więc niestrudzeni ewangeliści chmury musieli zmienić narrację. Obecnie głoszą, że największymi walorami nowego modelu usługowego są bezpieczeństwo i elastyczność. Obawiam się, że niebawem pozostanie im już tylko ten ostatni argument.