Schade leek beperkt
Wat in de zomer van 2019 boven tafel kwam gold als een van de grootste succesvolle acties. Het was al snel duidelijk dat bijna het gehele klantenbestand in verkeerde handen was beland. Maar omdat het vooral ging om NAW leek de schade nog beperkt te zijn.
Dat van 140.000 Amerikaanse en 1 miljoen Canadese klanten ook nog andere belangrijke data was ontvreemd riep toen al de nodige vragen op. Van slecht 80.000 klanten zouden de rekeningnummers zijn ontvreemd, hetgeen ook raar was Waarom was alleen die subset van de klantgroep getroffen? Ging het daarbij om externe databases?
Nieuwe melding
Capital One heeft recent de klanten schriftelijk geïnformeerd over de stand van zaken. Feitelijk is dat een nieuwe melding van het reeds bekende datalek. Nu heet het dat van een grotere groep klanten meer data is gelekt. Het aantal gelekte SSN zou hoger zijn dan eerste gemeld. Daarbij is gelekt een andere omschrijving voor ontvreemd. Het nieuws over deze melding komt onder andere uit Californië waar de consumentenbescherming anders is geregeld dan in de ander staten.
Voortschrijdend inzicht
In tegenstelling tot veel ander succesvolle digitale inbraken is bij Capital One de hoofddader of enige dader opgepakt. Paige T. werkte voorheen bij AWS en kende daardoor de brakke configuratie die Capital One hanteerde. Ze was zo in staat klantdata vanaf 2005 illegaal af te tappen. Door over de daad op te scheppen op social media liep ze tegen de lamp.
Eigenlijk is het datalek van Capital One daarmee opgelost. De dader is bekend en heeft bekend, voor de bank moet bekend zijn wat er precies is afgetapt. Maar dat laatste is dus toch niet helemaal juist. Na anderhalf jaar is immers de melding gekomen van grotere schade. Waar dat voortschrijdend inzicht op is gebaseerd blijft onduidelijk.
Class-action
Er lijkt een simpel verklaring te zijn voor de nieuwe communicatie van de bank. Namens meerdere gedupeerden zijn er rechtszaken (class-actions) tegen de bank aangespannen. Dat dwingt de bank data te delen die voorheen geheim werd gehouden. Een van de stukken is het forensische rapport uit 2019.
Wat daar in staat zou niet overeenkomen met wat de bank in eerste instantie heeft gecommuniceerd. Zoiets is dus koren op de molen van de advocaten die de bank door de rechter hebben gesleept. Maar daar hoeft het niet bij te blijven. De bank is in augustus 2020 door twee toezichthouders veroordeeld tot een boete van $80 miljoen. Als die boete voor Capital One mede is gebaseerd op onjuiste aantallen door het datalek getroffen klanten zal er meer vuurwerk volgen.
Een datalek is altijd vervelend. Te snel of opzettelijk onjuist communiceren over een datalek is erger. Daarom kan deze zaak nog wel belangrijk worden.
