Mit solch einem Lebenslauf, so die Spekulation in einem Web-Forum für Systemadministratoren bei Reddit, verdiene man problemlos 100 000 Dollar im Jahr. Bei ihrem jüngsten Arbeitgeber, Amazons Cloud-Dienst AWS, dürfte sie kaum weniger als das verdient haben. Insofern sei es völlig unverständlich, dass sich eine derart begabte Person der Cyberkriminalität zuwende. Doch genau das hat die 33-Jährige laut einer von einem Gericht in Seattle veröffentlichten Strafanzeige getan.

So habe die Bank "Capital One" am 17. Juli über eine eigens dafür eingerichtete E-Mail-Adresse einen Hinweis erhalten, dass Thompson im Besitz von gestohlenen Daten der Bank sei. Der Strafanzeige zufolge hat sich Thompson über eine falsch konfigurierte Firewall Zugang zu einem Server der Bank verschafft. Dort war es ihr möglich, sich ein Konto mit weitreichenden Privilegien für den Cloud-Speicher der Bank anzulegen. Die Lücke, die Thompson ausnutzte, wurde laut Capital One geschlossen. Der Cloud-Konzern wird in der Anzeige nicht genannt, Thompsons ehemaliger Arbeitgeber AWS hat allerdings bereits bestätigt, dass die Daten dort lagerten. Die Sicherheitsmechanismen hätten jedoch wie geplant funktioniert.

Ausgestattet mit den Login-Privilegien, ließ sich Thompson die dort gelagerten Datentöpfe der Bank anzeigen und kopierte den Inhalt. Der hat es in sich: Es soll sich um Daten von 100 Millionen US-Amerikaner und weiteren sechs Millionen Kanadiern handeln, überwiegend von Anträgen für Kreditkarten: Darunter seien Sozialversicherungsnummern, Namen und Geburtsdaten, Angaben zum Einkommen und zur Kreditwürdigkeit der Antragssteller.

Es war wohl einer der größten Hacks einer US-Bank

Die Beweisführung für die Staatsanwaltschaft ist in diesem Fall deutlich einfacher als bei Cyberkriminalität üblich. Während professionelle Hacker nach einem derartigen Coup ihre Spuren sorgfältig verwischen würden, prahlte Thompson in verschiedenen Foren im Netz mit ihrer Tat. So fanden sich nicht nur in ihrem Konto bei der Programmierer-Plattform Github Hinweise auf den Diebstahl, sondern auch in einem vergleichsweise leicht zugänglichen Kanal bei der Teamarbeits-Plattform Slack, in welchem sie sich mit anderen Hackern austauschte. Dort fanden Ermittler unter anderem diesen Austausch zwischen Thompson und einem anderen Nutzer:

"Ziemlich zwielichtige Sache, bitte geh nicht ins Gefängnis." -"Keine Sorge. Ich so >ipredator >tor >s3 bei der ganzen Sache. Ich will den Kram nur von meinem Server runterbekommen."

"S3" ist das Programm, das Amazon für die Datenspeicherung verwendet. Bei "IPredator" und "Tor" handelt es sich um Programme zur Verschleierung der eigenen Identität im Netz. Thompson fühlte durch den Einsatz der Tools offenbar sicher vor Strafverfolgung. Über den gleichen Kanal fanden die Ermittler jedoch auch eine Tierarztrechnung mit der Wohnadresse der Hackerin. Bei einer Hausdurchsuchung ergaben sich weitere Hinweise auf den Datendiebstahl.

106 Millionen Daten, damit dürfte der Datendiebstahl bei Capital One einer der größten Hacks einer US-Bank sein, den es jemals gab. Die betroffenen Kunden könnten allerdings Glück im Unglück gehabt haben: Es gibt aktuell keine Hinweise darauf, dass Thompson die Daten weiterverteilt hat.