अमेरिकी न्याय विभाग (डीओजे) ने अमेज़ॅन की पूर्व वेब सेवा, पेज थॉम्पसन के खिलाफ सात नए आरोप दायर किए हैं।एडब्ल्यूएस) इंजीनियर का आरोप हैकिंग कैपिटल वन और 100 मिलियन से अधिक अमेरिकियों के व्यक्तिगत डेटा की चोरी करना।
नए आरोपों में, जिसमें कंप्यूटर धोखाधड़ी और दुरुपयोग के छह मामले और एक्सेस डिवाइस धोखाधड़ी की एक गिनती शामिल है, का खुलासा किया गया अदालती दस्तावेज इस महीने की शुरुआत में दायर किया गया, द्वारा प्राप्त किया गया रिकॉर्ड. पिछले अभियोग ने थॉम्पसन पर एक-एक तार धोखाधड़ी और कंप्यूटर अपराध और दुर्व्यवहार का आरोप लगाया, जिसका अर्थ था कि उसे जेल में पांच से पांच तक और $ 250,000 तक के जुर्माने का सामना करना पड़ा। अतिरिक्त आरोपों के परिणामस्वरूप, थॉम्पसन को अब 20 साल तक की जेल का सामना करना पड़ रहा है।
सुपरसीडिंग अभियोग ने पीड़ित कंपनियों की संख्या को 2019 के अभियोग में सूचीबद्ध चार से बढ़ाकर आठ कर दिया है। कैपिटल वन के अलावा, एक अमेरिकी राज्य एजेंसी, एक अमेरिकी सार्वजनिक अनुसंधान विश्वविद्यालय और एक अंतरराष्ट्रीय दूरसंचार समूह, सूची में अब एक डेटा और खतरे से सुरक्षा कंपनी, एक संगठन शामिल है जो डिजिटल अधिकार प्रबंधन में विशेषज्ञता रखता है (DRM से), उच्च शिक्षा सीखने की तकनीक का प्रदाता, और कॉल सेंटर समाधानों का आपूर्तिकर्ता। कंपनियों का नाम नहीं लिया गया है, लेकिन सुरक्षा फर्म साइबरइंट ने पहले कहा था कि वोडाफोन, फोर्ड, मिशिगन स्टेट यूनिवर्सिटी और ओहियो परिवहन विभाग सभी उल्लंघन के शिकार हो सकते हैं।
थॉम्पसन, जिसने ऑनलाइन “अनियमित” हैंडल का इस्तेमाल किया और गिटहब पर अपनी गतिविधियों के बारे में शेखी बघारने के बाद पहचाना गया, पर अपने पिछले रोजगार से अमेज़ॅन में एक सॉफ्टवेयर इंजीनियर के रूप में अपने ज्ञान का उपयोग करने के लिए एक प्रोग्राम बनाने का आरोप है, जिसने क्लाउड कंप्यूटिंग कंपनी के ग्राहकों की पहचान की (अभियोग में कंपनी का नाम नहीं है, लेकिन यह रहा है अमेज़ॅन वेब सेवाओं के रूप में पहचाना गया
) ने फायरवॉल को गलत तरीके से कॉन्फ़िगर किया था। एक बार जब उपकरण को अपना लक्ष्य गलत विन्यास मिल गया, तो थॉम्पसन ने कथित तौर पर विशेषाधिकार प्राप्त खाता क्रेडेंशियल निकालने के लिए इसका फायदा उठाया।
पूर्व अभियोग में आरोप लगाया गया है कि एक बार जब थॉम्पसन ने चोरी किए गए क्रेडेंशियल्स का उपयोग करके पीड़ितों के क्लाउड इंफ्रास्ट्रक्चर तक पहुंच प्राप्त की, तो उसने सिएटल में अपने निवास पर एक सर्वर पर डेटा एक्सेस और डाउनलोड किया। यह स्पष्ट नहीं है कि क्या कोई सूचना तीसरे पक्ष को दी गई थी।
के मामले में एक राजधानी उल्लंघन, जिसकी कंपनी ने जुलाई 2019 में पुष्टि की, चोरी किए गए डेटा में 106 मिलियन क्रेडिट कार्ड एप्लिकेशन शामिल थे, जिसमें नाम, पते, फोन नंबर और जन्म तिथि के साथ-साथ 140,000 सामाजिक सुरक्षा नंबर, 80,000 बैंक खाता संख्या और कुछ क्रेडिट स्कोर शामिल थे। और लेनदेन डेटा। एक राजधानी, जिसने घटना के चार महीने बाद अपने साइबर सुरक्षा प्रमुख को बदल दिया, था 80 मिलियन डॉलर का जुर्माना अगस्त 2020 में सुरक्षा उल्लंघन और अपने उपयोगकर्ताओं के वित्तीय डेटा को सुरक्षित रखने में इसकी विफलता के लिए।
अभियोजकों ने यह भी आरोप लगाया कि थॉम्पसन ने कुल मिलाकर कम से कम 30 संस्थाओं से डेटा की नकल की और चोरी की, जो एक ही क्लाउड प्रदाता का उपयोग करते थे, और दावा करते हैं कि, कुछ मामलों में, उन्होंने पीड़ितों की क्लाउड कंप्यूटिंग शक्ति का उपयोग करके क्रिप्टोक्यूरेंसी खनन संचालन स्थापित करने के लिए इस एक्सेस का उपयोग किया – ए क्रिप्टोजैकिंग के रूप में जाना जाने वाला अभ्यास.
थॉम्पसन ने दोषी नहीं होने का अनुरोध किया और अगस्त 2019 में प्री-ट्रायल बांड पर रिहा कर दिया गया। उसे शुरू में नवंबर 2019 में मुकदमे का सामना करने के लिए तैयार किया गया था, लेकिन अभियोजन द्वारा विश्लेषण की जाने वाली बड़ी मात्रा में जानकारी के कारण मुकदमे में मार्च 2020 तक देरी हुई।
बाद में महामारी के कारण परीक्षण को अक्टूबर 2020 में पुनर्निर्धारित किया गया, फिर जून 2021, फिर अक्टूबर 2021, और अब से 14 मार्च, 2022, अभियोजक अभी भी थॉम्पसन के उपकरणों से एकत्र किए गए डेटा का विश्लेषण करने के लिए और अधिक समय की आवश्यकता का हवाला देते हुए।