作者：易琬玉

美國(guó)最大的銀行之一Capital One客戶(hù)信息服務(wù)器被黑，導(dǎo)致超過(guò)1億人的個(gè)人數(shù)據(jù)被竊取。

根據(jù)法庭文件，嫌疑犯是33歲的女工程師Paige Thompson，Thompson曾供職于亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)，而AWS曾托管這次被泄露的Capital One數(shù)據(jù)庫(kù)。

因?yàn)橛X(jué)得AWS安全可靠，Capital One 幾乎使用或試用了AWS的所有產(chǎn)品來(lái)開(kāi)發(fā)、測(cè)試、構(gòu)建和運(yùn)行其最關(guān)鍵的工作，包括全新的旗艦產(chǎn)品：手機(jī)銀行應(yīng)用程序。Capital One的CTO還在AWS re: Invent2015上發(fā)表了主題演講。

留下線索供警察調(diào)查

據(jù)紐約時(shí)報(bào)報(bào)道，Thompson的網(wǎng)名叫做“erratic”(意為漂泊不定的人、古怪的人)。對(duì)于自己的黑客工作，Thompson從不羞于啟齒，她在Meetup上組織了一個(gè)名為Seattle Warez Kiddies的小組，這個(gè)小組被描述為“對(duì)分布式系統(tǒng)、編程、黑客攻擊和破解感興趣的人的聚集地”。

為了吹噓自己的黑客行為，她在網(wǎng)上留下線索供警察調(diào)查，F(xiàn).B.I.通過(guò)Thompson在Meetup上的痕跡追蹤到她的其他社交網(wǎng)絡(luò)動(dòng)態(tài)，并看到她在twitter和Slack上描述這次數(shù)據(jù)泄露的帖子。通過(guò)她過(guò)往帖子中的一張寵物發(fā)票照片，調(diào)查員最終核實(shí)了她的身份。之后，Thompson被捕并被指控犯有計(jì)算機(jī)欺詐和濫用罪。

銀行損失高達(dá)1.5億美元

根據(jù)法庭文件和Capital One的申明，Thompson竊取了14萬(wàn)個(gè)社保號(hào)碼和8萬(wàn)個(gè)銀行賬號(hào)。作為美國(guó)第三大信用卡發(fā)行商，Capital One周一表示，除了數(shù)千萬(wàn)信用卡申請(qǐng)被盜外，還有100萬(wàn)個(gè)加拿大社會(huì)保險(xiǎn)號(hào)碼被盜，以及消費(fèi)者和小企業(yè)早在2005年的信用卡申請(qǐng)，最近的一次是在2019年。

美國(guó)國(guó)家廣播公司(NBC)新聞主播萊斯特•霍爾特(Lester Holt)在一份聲明中表示:“根據(jù)我們迄今的分析，我們認(rèn)為這些信息不太可能被用于欺詐或被此人散布。”

Capital One也在官方聲明中表示，沒(méi)有信用卡帳號(hào)或登錄憑據(jù)被泄露，超過(guò)99% 社會(huì)保障號(hào)未受損。銀行立即修復(fù)了漏洞，并承諾將為受影響的每個(gè)人提供免費(fèi)的信用監(jiān)控和身份保護(hù)。

 

 

銀行預(yù)計(jì)此次損失高達(dá)1.5億美元，包括為受影響客戶(hù)支付信貸監(jiān)控的費(fèi)用。上周，另一家美國(guó)征信巨頭Equifax就2017年的數(shù)據(jù)泄露事件達(dá)成和解，賠償了至少6.5億美元——該事件是美國(guó)歷史上最嚴(yán)重的數(shù)據(jù)安全事件，曝光了1.47億多名消費(fèi)者的敏感信息，每人獲得125 美元賠償。

 

 

通過(guò)對(duì)防火墻進(jìn)行“錯(cuò)誤配置”獲得對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限

亞馬遜的網(wǎng)絡(luò)服務(wù)托管公司的遠(yuǎn)程數(shù)據(jù)服務(wù)器，但是像Capital One這樣的大公司一般會(huì)在亞馬遜的云端數(shù)據(jù)上構(gòu)建自己的Web應(yīng)用程序以滿(mǎn)足自身需求。

調(diào)查此次違規(guī)行為的代理人在法庭文件中表示，Thompson通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用程序上的防火墻進(jìn)行“錯(cuò)誤配置”獲得了對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限。這使得黑客能夠與儲(chǔ)存Capital One的信息器通信，并最終獲取客戶(hù)文件。

盡管此次入侵可能是由于Capital One的安全漏洞，但Thompson的專(zhuān)業(yè)技能為其提供了幫助。社交媒體上發(fā)布的信息顯示，她在亞馬遜工作時(shí)在Capital One的服務(wù)器業(yè)務(wù)中擔(dān)任工程師。

亞馬遜表示，他們的客戶(hù)能夠完全控制他們自己開(kāi)發(fā)的應(yīng)用程序，現(xiàn)在沒(méi)有任何證據(jù)表明其基礎(chǔ)云服務(wù)受到了損害。

 

 

刑事起訴書(shū)稱(chēng)，7月17日，有一名線人致信Capital One，警告該行的一些數(shù)據(jù)似乎已被泄露。

Capital One意識(shí)到，這份警告說(shuō)的是Thompson在帖子里說(shuō)她想要分發(fā)這些被竊取的材料。在6月27日，她還列出了幾家公司，政府機(jī)構(gòu)和教育機(jī)構(gòu)，調(diào)查人員將其解釋為“可能在承認(rèn)其他的黑客行為”。

周一，聯(lián)邦調(diào)查局(fbi)特工對(duì)Thompson的房子執(zhí)行了搜查令。檢方稱(chēng)，他們繳獲了大量數(shù)字設(shè)備，并在這些設(shè)備上發(fā)現(xiàn)了涉及Capital One和亞馬遜(Amazon)的物品。

安全漏洞是一個(gè)持續(xù)且代價(jià)高昂的威脅

Capital One表示，銀行賬戶(hù)號(hào)碼與持有安全信用卡的客戶(hù)有關(guān)，有擔(dān)保的信用卡要求客戶(hù)支付200美元或250美元。分析師馬特舒爾茨(Matt Schulz)說(shuō)，這是銀行將貸款給信用狀況不佳或剛剛起步的人的風(fēng)險(xiǎn)降至最低的一種方式。他說(shuō)，“這些客戶(hù)很脆弱，而且往往沒(méi)有多少財(cái)務(wù)上的容錯(cuò)余地。”

盡管此次入侵可能是由于Capital One的安全漏洞，但Thompson的專(zhuān)業(yè)技能為其提供了幫助。社交媒體上發(fā)布的信息顯示，她在亞馬遜工作時(shí)在Capital one使用的服務(wù)器業(yè)務(wù)中擔(dān)任工程師。

對(duì)金融業(yè)來(lái)說(shuō)，安全漏洞是一個(gè)持續(xù)且代價(jià)高昂的威脅。在2017年的一次入侵中，Capital One通知客戶(hù)，一名前雇員可能近4個(gè)月來(lái)一直可以訪問(wèn)他們的個(gè)人數(shù)據(jù)，包括賬戶(hù)號(hào)碼、電話號(hào)碼、交易歷史和社保號(hào)碼。該公司報(bào)告稱(chēng)，2014年也有遭到類(lèi)似的攻擊。

相關(guān)報(bào)道：

http://press.capitalone.com/phoenix.zhtml?c=251626&p=irol-newsArticle&ID=2405043

https://www.nytimes.com/2019/07/29/business/capital-one-data-breach-hacked.html

標(biāo)簽： 個(gè)人數(shù)據(jù) 數(shù)據(jù)泄露

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。