'美國金融業再次曝出重大數據洩露事件 前亞馬遜員工被逮捕'

Capital One 客戶數據的大規模洩露已經影響到 1 億多美國用戶及 600 萬加拿大用戶。

由於雲錯誤配置，黑客能夠能夠輕易地連接到信貸服務應用，獲取用戶的社會安全號碼和銀行賬號，這是有史以來金融服務公司遭遇的最大數據洩露事件之一，在規模上與 2017 年的 Equifax 事件不相上下。

美國聯邦調查局已經逮捕了此案的一名嫌疑人：亞馬遜網絡服務 (AWS) 的前工程師佩吉·湯普森，此前她曾在 GitHub 上吹噓自己的數據被盜。

根據在華盛頓聯邦檢察官辦公室西區提交的一份刑事訴狀，該入侵發生在 3 月 19 日至 7 月 17 日之間，通過一個「配置錯誤的 web 應用程序防火牆」。

這些非法訪問的數據存儲在從 AWS 租用的雲服務器上，主要與 2005 年至 2019 年初消費者和企業的信用卡應用程序有關。這些信息包括大量的個人信息，如姓名、地址和出生日期；以及財務信息，包括自我報告的收入和信用評分。

Capital One 表示，沒有信用卡賬號或登錄憑證受到攻擊，只有大約 14 萬個社會安全號碼受到影響，這意味著「99% 以上的社會安全號碼」沒有受到影響。在加拿大，大約有 100 萬個社會保險號碼被洩露。

曝光的數據還包括 2016 年、2017 年和 2018 年 23 天的信用評分、信用額度、餘額、支付歷史、聯繫方式和交易數據片段。

Capital One 首席執行官理查德·費爾班克 (Richard Fairbank) 在一份聲明中表示:「我真誠地為這起事件引發的擔憂道歉，這種擔憂是可以理解的，我一定會糾正這種擔憂。」

該公司補充稱，它已修復了所謂的「配置漏洞」，而且「這些信息不太可能被用於欺詐或由此人傳播」——不過調查仍在進行中。

該公司已承諾對受影響者進行信用監控，但反網絡釣魚公司 Lucy Security 的首席執行官科林·巴斯塔布爾 (Colin Bastable) 表示，Capital Bank 等銀行及其員工應在事件發生後採取更多行動，以發現潛在的網絡釣魚攻擊。

巴斯塔布在一份電子郵件聲明中解釋說:「在長達 12 個月的信用監測結束後，Capital One 的受害者將在未來數年內被『捕撈』。」「黑色網絡對大多數北美人的瞭解可能比他們的政府公開承認的要多。僱主需要通過確保員工有安全意識來保護自己。」

嫌疑人湯普森在網絡對話中使用了「erratic」的化名，據稱他在 GitHub 和社交媒體上多次發佈了有關盜竊的信息。一個用戶名為「erratic」的推特賬號上的帖子寫道:「我基本上是把自己綁在炸彈背心上，F*cking 該死的 CapitalOne，兵承認是自己做的。」

Capital One 遭黑客入侵的消息傳出之前，美國信用監測機構 Equifax 上週同意支付至多 7 億美元，以解決 2017 年發生在該公司的一起類似事件。那次事件影響了近 1.5 億客戶。

亞馬遜方面則指出，法庭文件和 Capital One 的聲明承認存在配置錯誤。該公司發言人對彭博社 (Bloomberg) 表示，Capital One 的數據不是通過 AWS 系統的漏洞訪問的。

「Capital One 的入侵證明，企業在有效部署安全技術方面還有很多需要學習的地方，」Immersive Labs 首席執行官詹姆斯·哈德利 (James Hadley) 通過電子郵件表示。從他們對這次入侵的描述來看，你會認為這是一個利用漏洞的精英黑客，這是情有可原的。事實上，正如聯邦調查局所說，只是一個配置不良的防火牆允許黑客進入。」

Darktrace 網絡情報總監賈斯汀·菲爾 (Justin Fier) 也同意了巴斯塔布的警告，他表示，抓捕行凶者——如果她被證明有罪——並不能保證數據尚未進入黑暗網絡。「在新的數字時代，數據就是貨幣，一旦落入不法之徒之手，它就會像野火一樣在犯罪團伙中蔓延，」費伊爾補充說。