美國最大的銀行之一Capital One客戶訊息伺服器被駭,導致超過1億人的個人資料被竊取。根據法庭文件,嫌疑犯是33歲的女工程師Paige Thompson,Thompson曾供職於亞馬遜網路服務(AWS),而AWS曾託管這次被洩露的Capital One資料庫。
因為覺得AWS安全可靠,Capital One 幾乎使用或試用了AWS的所有產品來開發、測試、構建和運行其最關鍵的工作,包括全新的旗艦產品:手機銀行應用程式。Capital One的CTO還在AWS re: Invent2015上發表了主題演講。
留下線索供警察調查
據紐約時報報導,Thompson的網名叫做「erratic」(意為漂泊不定的人、古怪的人)。對於自己的駭客工作,Thompson從不羞於啟齒,她在Meetup上組織了一個名為Seattle Warez Kiddies的小組,這個小組被描述為「對分散式系統、程式編輯、駭客攻擊和破解感興趣的人的聚集地」。
為了吹噓自己的駭客行為,她在網上留下線索供警察調查,F.B.I.透過Thompson在Meetup上的痕跡追蹤到她的其他社群網路動態,並看到她在twitter和Slack上描述這次資料洩露的文章。透過她過往文章中的一張寵物發票照片,調查員最終確認了她的身份。之後,Thompson被捕並被指控犯有電腦詐欺和濫用罪。
銀行損失高達1.5億美元
根據法庭文件和Capital One的申明,Thompson竊取了14萬個社會保險號碼和8萬個銀行帳號。作為美國第三大信用卡發行商,Capital One週一表示,除了數千萬信用卡申請被盜外,還有100萬個加拿大社會保險號碼被盜,以及消費者和小企業早在2005年的信用卡申請,最近的一次是在2019年。
美國國家廣播公司(NBC)新聞主播萊斯特·霍爾特(Lester Holt)在一份聲明中表示:「根據我們迄今的分析,我們認為這些訊息不太可能被用於詐欺或被此人散佈。」
Capital One也在官方聲明中表示,沒有信用卡帳號或登錄憑據被洩露,超過99% 社會保障號未受損。銀行立即修復了漏洞,並承諾將為受影響的每個人提供免費的信用監控和身份保護。
銀行預計此次損失高達1.5億美元,包括為受影響客戶支付信貸監控的費用。上週,另一家美國徵信巨頭Equifax就2017年的資料洩露事件達成和解,賠償了至少6.5億美元——該事件是美國歷史上最嚴重的資料安全事件,曝光了1.47億多名消費者的敏感訊息,每人獲得125 美元賠償。
透過對防火牆進行「錯誤配置」獲得對敏感資料的存取權限
亞馬遜的網路服務託管公司的遠端資料伺服器,但是像Capital One這樣的大公司一般會在亞馬遜的云端資料上構建自己的Web應用程式以滿足自身需求。
調查此次違規行為的代理人在法庭文件中表示,Thompson通過對網路應用程式上的防火牆進行「錯誤配置」獲得了對敏感資料的存取權限。這使得駭客能夠與儲存Capital One的機器通訊,並最終獲取客戶文件。
儘管此次入侵可能是由於Capital One的安全漏洞,但Thompson的專業技能為其提供了幫助。社群媒體上發佈的訊息顯示,她在亞馬遜工作時在Capital One的伺服器業務中擔任工程師。
亞馬遜表示,他們的客戶能夠完全控制他們自己開發的應用程式,現在沒有任何證據表明其基礎雲端服務受到了損害。
刑事起訴書稱,7月17日,有一名線人致信Capital One,警告該行的一些資料似乎已被洩露。
Capital One意識到,這份警告說的是Thompson在文章裡說她想要分發這些被竊取的資料。在6月27日,她還列出了幾家公司,政府機構和教育機構,調查人員將其解釋為「可能在承認其他的駭客行為」。
週一,聯邦調查局(fbi)特工對Thompson的房子執行了搜查令。檢方稱,他們繳獲了大量數位設備,並在這些設備上發現了涉及Capital One和亞馬遜(Amazon)的物品。
安全漏洞是一個持續且代價高昂的威脅
Capital One表示,銀行帳戶號碼與持有安全信用卡的客戶有關,有擔保的信用卡要求客戶支付200美元或250美元。分析師馬特舒爾茲(Matt Schulz)說,這是銀行將貸款給信用狀況不佳或剛剛起步的人的風險降至最低的一種方式。他說,「這些客戶很脆弱,而且往往沒有多少財務上的容錯餘地。」
儘管此次入侵可能是由於Capital One的安全漏洞,但Thompson的專業技能為其提供了幫助。社群媒體上發佈的訊息顯示,她在亞馬遜工作時在Capital one使用的伺服器業務中擔任工程師。
對金融業來說,安全漏洞是一個持續且代價高昂的威脅。在2017年的一次入侵中,Capital One通知客戶,一名前僱員可能近4個月來一直可以存取他們的個人資料,包括帳戶號碼、電話號碼、交易歷史和社保號碼。該公司報告稱,2014年也有遭到類似的攻擊。
資料來源:
- Capital One Data Breach Compromises Data of Over 100 Million
- Capital One Announces Data Security Incident
本文授權轉載自大數據文摘
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!