Capital One a immédiatement corrigé la vulnérabilité de configuration exploitée par cette personne et a rapidement commencé à travailler avec les forces de l’ordre fédérales. Le FBI a arrêté le responsable et celui-ci est en détention. D’après notre analyse à ce jour, nous pensons qu’il est peu probable que les informations aient été utilisées à des fins frauduleuses ou diffusées par cette personne. Cependant, nous continuerons à enquêter.

« Bien que je sois reconnaissant que l’auteur ait été arrêté, je suis profondément désolé de ce qui s’est passé », a déclaré Richard D. Fairbank , président du conseil et chef de la direction. « Je m’excuse sincèrement pour l’inquiétude compréhensible que cet incident doit causer aux personnes touchées et je m’engage à y remédier. »

Selon notre analyse à ce jour, cet événement a touché environ 100 millions de personnes aux États-Unis et environ 6 millions au Canada.

Fait important, aucun numéro de compte de carte de crédit ou identifiant de connexion n’a été compromis et plus de 99% des numéros de sécurité sociale ne l’ont pas été.

Les informations sur les consommateurs et les petites entreprises constituaient la plus grande catégorie d’informations consultées au moment où ils ont demandé l’un de nos produits pour cartes de crédit de 2005 à début 2019. Ces informations comprenaient les informations personnelles que Capital One recueille régulièrement au moment de la réception des demandes de carte de crédit. y compris les noms, adresses, codes postaux, codes téléphoniques, numéros de téléphone, adresses électroniques, dates de naissance et revenus déclarés. Outre les données de demande de carte de crédit, la personne a également obtenu des portions de données de client de carte de crédit, notamment:

Données sur le statut du client, par exemple notes de crédit, limites de crédit, soldes, historique des paiements, informations de contact

Fragments de données de transaction d’un total de 23 jours en 2016, 2017 et 2018

Aucun numéro de compte bancaire ou de sécurité sociale n’a été compromis, à l’exception de:

Environ 140 000 numéros de sécurité sociale de nos clients émetteurs de cartes de crédit

Environ 80 000 numéros de compte bancaire lié de nos clients avec cartes de crédit sécurisées

Pour nos clients canadiens titulaires de cartes de crédit, environ un million de numéros d’assurance sociale ont été compromis lors de cet incident.

Nous informerons les personnes concernées par divers moyens. Nous ferons en sorte que la surveillance du crédit et la protection de l’identité soient accessibles gratuitement à toutes les personnes concernées.

La sauvegarde des informations de nos clients est essentielle à notre mission et à notre rôle d’institution financière. Nous avons beaucoup investi dans la cybersécurité et continuerons de le faire. Nous intégrerons les enseignements tirés de cet incident pour renforcer davantage nos cyberdéfenses.

Nous sommes très reconnaissants au bureau extérieur du FBI à Seattle et à son agent spécial, Joel Martini , à l’avocat américain Brian T. Moran , ainsi qu’aux assistants des procureurs américains Steven Masada et Andrew Friedman du district occidental de Washington pour la rapidité avec laquelle ils ont réagi à cet incident. et appréhendé la partie responsable.

Pour plus d’informations sur cet incident et sur les mesures prises par Capital One pour y répondre, visitez le site www.capitalone.com/facts2019 . Au Canada , des informations sont disponibles sur les sites www.capitalone.ca/facts2019  et www.capitalone.ca/facts2019/fr . L’enquête est en cours et l’analyse est susceptible de changer. À mesure que nous en saurons plus, nous mettrons à jour ces sites Web pour fournir des informations supplémentaires.

Espace vidéo promotion Vingt55  »Saviez vous que… »

Espace partenaire Vingt55

Les réponses à certaines questions liées à l’incident de cybersécurité suivent.

Quelle était la vulnérabilité qui a conduit à cet incident?

Nous pensons qu’une personne très sophistiquée a pu exploiter une vulnérabilité de configuration spécifique dans notre infrastructure. Lorsque cela a été découvert, nous avons immédiatement résolu le problème de configuration et vérifié qu’il n’y avait pas d’autres instances dans notre environnement. Entre autres choses, nous avons également augmenté notre balayage automatisé de routine pour rechercher ce problème de manière continue.

Comment avez-vous découvert l’incident?

Comme beaucoup d’entreprises, nous avons un programme de divulgation responsable qui permet aux chercheurs en sécurité éthique de signaler les vulnérabilités directement à nous. La vulnérabilité de configuration nous a été signalée par un chercheur en sécurité externe dans le cadre de notre programme de divulgation responsable le 17 juillet 2019 . Nous avons ensuite lancé notre propre enquête interne, qui a abouti à la découverte de l’incident le 19 juillet 2019 .

Quand est-ce arrivé?

Le 19 juillet 2019 , nous avons déterminé qu’un individu externe avait obtenu un accès non autorisé à certains types d’informations personnelles relatives à des personnes ayant demandé des produits de carte de crédit et des clients de cartes de crédit Capital One. Cela s’est produit les 22 et 23 mars 2019.

Les données ont-elles été cryptées et / ou marquées?

Nous cryptons nos données en tant que norme. En raison des circonstances particulières de cet incident, l’accès non autorisé a également permis le déchiffrement des données.

Cependant, nous avons également pour habitude de segmenter certains champs de données, notamment les numéros de sécurité sociale et les numéros de compte. La tokénisation implique la substitution du champ sensible par un remplacement généré de manière cryptographique. La méthode et les clés pour déverrouiller les champs marqués sont différentes de celles utilisées pour chiffrer les données. Les données sous forme de jetons sont restées protégées.

Cette vulnérabilité est-elle due au fait que vous opérez sur le cloud?

Ce type de vulnérabilité n’est pas spécifique au cloud. Les éléments d’infrastructure impliqués sont communs aux environnements de centre de données dans le cloud et sur site.

Notre modèle d’exploitation en nuage a permis de diagnostiquer et de corriger cette vulnérabilité, ainsi que son impact, avec une rapidité sans pareille.

Quels sont les impacts financiers attendus de l’incident?

Nous nous attendons à ce que l’incident génère des coûts supplémentaires d’environ 100 à 150 millions de dollars en 2019. Les coûts attendus sont principalement liés aux notifications des clients, à la surveillance du crédit, aux coûts technologiques et au support juridique. Nous prévoyons comptabiliser les coûts liés à la notification des clients et à la surveillance du crédit en 2019. Les coûts supplémentaires attendus liés à l’incident seront comptabilisés séparément à titre d’élément d’ajustement, car ils se rapportent aux résultats financiers de la Société.

Pendant des années, nous avons beaucoup investi dans la cybersécurité et nous continuerons de le faire. Au-delà du poste d’ajustement de 2019, nous prévoyons que tout investissement supplémentaire dans la cybersécurité sera financé dans le cadre de notre budget actuel.

La société souscrit une assurance pour couvrir certains coûts associés à un événement de cyber-risque. Cette assurance est soumise à une franchise et à des exclusions standard de 10 millions de dollars et comporte une limite de couverture totale de 400 millions de dollars . Le moment de la comptabilisation des coûts peut différer de celui de la comptabilisation d’un remboursement d’assurance. Les gains sur les recouvrements d’assurance associés à l’incident seront également traités comme un élément d’ajustement en ce qui concerne les résultats financiers de la Société.

La société confirme ses directives d’efficacité existantes, qui dans tous les cas sont nettes d’ajustements. La société prévoit une légère amélioration du taux d’efficacité opérationnelle annuel pour 2019 par rapport au taux d’efficacité opérationnelle annuel pour 2018. Par rapport à 2019, la société continue également de s’attendre à une légère amélioration du taux d’efficacité opérationnelle annuel de 2020. Et la société continue de s’attendre à un ratio d’efficience d’exploitation annuel de 42% en 2021. La société s’attend toujours à ce que les améliorations apportées au ratio d’efficacité d’exploitation entraînent également une amélioration significative du taux d’efficacité total annuel en 2021.

Mise en garde concernant les déclarations prospectives

Le présent document contient des déclarations prospectives comportant un certain nombre de risques et d’incertitudes. Toutes les déclarations qui traitent de la performance opérationnelle, des événements ou des développements que nous prévoyons ou anticipons se produiront à l’avenir, y compris celles relatives aux résultats opérationnels et à l’incident de cybersécurité annoncé le 29 juillet 2019., sont des déclarations prospectives. La société prévient ses lecteurs que les informations prospectives ne garantissent pas le rendement futur et que les résultats réels pourraient différer considérablement de ceux contenus dans les informations prospectives en raison de nombreux facteurs, notamment ceux mentionnés de temps à autre dans des rapports la société dépose auprès de la Securities and Exchange Commission, y compris, entre autres, le rapport annuel sur formulaire 10-K pour l’exercice clos le 31 décembre 2018 .

SOURCE Capital One Financial Corporation