作者：易琬玉

美國最大的銀行之一Capital One客戶信息服務器被黑，導致超過1億人的個人數(shù)據(jù)被竊取。

根據(jù)法庭文件，嫌疑犯是33歲的女工程師Paige Thompson，Thompson曾供職于亞馬遜網(wǎng)絡服務(AWS)，而AWS曾托管這次被泄露的Capital One數(shù)據(jù)庫。

因為覺得AWS安全可靠，Capital One 幾乎使用或試用了AWS的所有產(chǎn)品來開發(fā)、測試、構建和運行其最關鍵的工作，包括全新的旗艦產(chǎn)品：手機銀行應用程序。Capital One的CTO還在AWS re: Invent2015上發(fā)表了主題演講。

留下線索供警察調(diào)查

據(jù)紐約時報報道，Thompson的網(wǎng)名叫做“erratic”(意為漂泊不定的人、古怪的人)。對于自己的黑客工作，Thompson從不羞于啟齒，她在Meetup上組織了一個名為Seattle Warez Kiddies的小組，這個小組被描述為“對分布式系統(tǒng)、編程、黑客攻擊和破解感興趣的人的聚集地”。

為了吹噓自己的黑客行為，她在網(wǎng)上留下線索供警察調(diào)查，F(xiàn).B.I.通過Thompson在Meetup上的痕跡追蹤到她的其他社交網(wǎng)絡動態(tài)，并看到她在twitter和Slack上描述這次數(shù)據(jù)泄露的帖子。通過她過往帖子中的一張寵物發(fā)票照片，調(diào)查員最終核實了她的身份。之后，Thompson被捕并被指控犯有計算機欺詐和濫用罪。

銀行損失高達1.5億美元

根據(jù)法庭文件和Capital One的申明，Thompson竊取了14萬個社保號碼和8萬個銀行賬號。作為美國第三大信用卡發(fā)行商，Capital One周一表示，除了數(shù)千萬信用卡申請被盜外，還有100萬個加拿大社會保險號碼被盜，以及消費者和小企業(yè)早在2005年的信用卡申請，最近的一次是在2019年。

美國國家廣播公司(NBC)新聞主播萊斯特•霍爾特(Lester Holt)在一份聲明中表示:“根據(jù)我們迄今的分析，我們認為這些信息不太可能被用于欺詐或被此人散布。”

Capital One也在官方聲明中表示，沒有信用卡帳號或登錄憑據(jù)被泄露，超過99% 社會保障號未受損。銀行立即修復了漏洞，并承諾將為受影響的每個人提供免費的信用監(jiān)控和身份保護。

 

 

銀行預計此次損失高達1.5億美元，包括為受影響客戶支付信貸監(jiān)控的費用。上周，另一家美國征信巨頭Equifax就2017年的數(shù)據(jù)泄露事件達成和解，賠償了至少6.5億美元——該事件是美國歷史上最嚴重的數(shù)據(jù)安全事件，曝光了1.47億多名消費者的敏感信息，每人獲得125 美元賠償。

 

 

通過對防火墻進行“錯誤配置”獲得對敏感數(shù)據(jù)的訪問權限

亞馬遜的網(wǎng)絡服務托管公司的遠程數(shù)據(jù)服務器，但是像Capital One這樣的大公司一般會在亞馬遜的云端數(shù)據(jù)上構建自己的Web應用程序以滿足自身需求。

調(diào)查此次違規(guī)行為的代理人在法庭文件中表示，Thompson通過對網(wǎng)絡應用程序上的防火墻進行“錯誤配置”獲得了對敏感數(shù)據(jù)的訪問權限。這使得黑客能夠與儲存Capital One的信息器通信，并最終獲取客戶文件。

盡管此次入侵可能是由于Capital One的安全漏洞，但Thompson的專業(yè)技能為其提供了幫助。社交媒體上發(fā)布的信息顯示，她在亞馬遜工作時在Capital One的服務器業(yè)務中擔任工程師。

亞馬遜表示，他們的客戶能夠完全控制他們自己開發(fā)的應用程序，現(xiàn)在沒有任何證據(jù)表明其基礎云服務受到了損害。

 

 

刑事起訴書稱，7月17日，有一名線人致信Capital One，警告該行的一些數(shù)據(jù)似乎已被泄露。

Capital One意識到，這份警告說的是Thompson在帖子里說她想要分發(fā)這些被竊取的材料。在6月27日，她還列出了幾家公司，政府機構和教育機構，調(diào)查人員將其解釋為“可能在承認其他的黑客行為”。

周一，聯(lián)邦調(diào)查局(fbi)特工對Thompson的房子執(zhí)行了搜查令。檢方稱，他們繳獲了大量數(shù)字設備，并在這些設備上發(fā)現(xiàn)了涉及Capital One和亞馬遜(Amazon)的物品。

安全漏洞是一個持續(xù)且代價高昂的威脅

Capital One表示，銀行賬戶號碼與持有安全信用卡的客戶有關，有擔保的信用卡要求客戶支付200美元或250美元。分析師馬特舒爾茨(Matt Schulz)說，這是銀行將貸款給信用狀況不佳或剛剛起步的人的風險降至最低的一種方式。他說，“這些客戶很脆弱，而且往往沒有多少財務上的容錯余地。”

盡管此次入侵可能是由于Capital One的安全漏洞，但Thompson的專業(yè)技能為其提供了幫助。社交媒體上發(fā)布的信息顯示，她在亞馬遜工作時在Capital one使用的服務器業(yè)務中擔任工程師。

對金融業(yè)來說，安全漏洞是一個持續(xù)且代價高昂的威脅。在2017年的一次入侵中，Capital One通知客戶，一名前雇員可能近4個月來一直可以訪問他們的個人數(shù)據(jù)，包括賬戶號碼、電話號碼、交易歷史和社保號碼。該公司報告稱，2014年也有遭到類似的攻擊。

相關報道：

http://press.capitalone.com/phoenix.zhtml?c=251626&p=irol-newsArticle&ID=2405043

https://www.nytimes.com/2019/07/29/business/capital-one-data-breach-hacked.html

標簽： 個人數(shù)據(jù) 數(shù)據(jù)泄露

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。