大数据文摘出品

作者:易琬玉

美国最大的银行之一Capital One客户信息服务器被黑,导致超过1亿人的个人数据被窃取。

根据法庭文件,嫌疑犯是33岁的女工程师Paige Thompson,Thompson曾供职于亚马逊网络服务(AWS),而AWS曾托管这次被泄露的Capital One数据库。

因为觉得AWS安全可靠,Capital One 几乎使用或试用了AWS的所有产品来开发、测试、构建和运行其最关键的工作,包括全新的旗舰产品:手机银行应用程序。Capital One的CTO还在AWS re: Invent2015上发表了主题演讲。

留下线索供警察调查

据纽约时报报道,Thompson的网名叫做“erratic”(意为漂泊不定的人、古怪的人)。对于自己的黑客工作,Thompson从不羞于启齿,她在Meetup上组织了一个名为Seattle Warez Kiddies的小组,这个小组被描述为“对分布式系统、编程、黑客攻击和破解感兴趣的人的聚集地”。

为了吹嘘自己的黑客行为,她在网上留下线索供警察调查,F.B.I.通过Thompson在Meetup上的痕迹追踪到她的其他社交网络动态,并看到她在twitter和Slack上描述这次数据泄露的帖子。通过她过往帖子中的一张宠物发票照片,调查员最终核实了她的身份。之后,Thompson被捕并被指控犯有计算机欺诈和滥用罪。

银行损失高达1.5亿美元

根据法庭文件和Capital One的申明,Thompson窃取了14万个社保号码和8万个银行账号。作为美国第三大信用卡发行商,Capital One周一表示,除了数千万信用卡申请被盗外,还有100万个加拿大社会保险号码被盗,以及消费者和小企业早在2005年的信用卡申请,最近的一次是在2019年。

美国国家广播公司(NBC)新闻主播莱斯特•霍尔特(Lester Holt)在一份声明中表示:“根据我们迄今的分析,我们认为这些信息不太可能被用于欺诈或被此人散布。”

Capital One也在官方声明中表示,没有信用卡帐号或登录凭据被泄露,超过99% 社会保障号未受损。银行立即修复了漏洞,并承诺将为受影响的每个人提供免费的信用监控和身份保护。

银行预计此次损失高达1.5亿美元,包括为受影响客户支付信贷监控的费用。上周,另一家美国征信巨头Equifax就2017年的数据泄露事件达成和解,赔偿了至少6.5亿美元——该事件是美国历史上最严重的数据安全事件,曝光了1.47亿多名消费者的敏感信息,每人获得125 美元赔偿。

通过对防火墙进行“错误配置”获得对敏感数据的访问权限

亚马逊的网络服务托管公司的远程数据服务器,但是像Capital One这样的大公司一般会在亚马逊的云端数据上构建自己的Web应用程序以满足自身需求。

调查此次违规行为的代理人在法庭文件中表示,Thompson通过对网络应用程序上的防火墙进行“错误配置”获得了对敏感数据的访问权限。这使得黑客能够与储存Capital One的信息器通信,并最终获取客户文件。

尽管此次入侵可能是由于Capital One的安全漏洞,但Thompson的专业技能为其提供了帮助。社交媒体上发布的信息显示,她在亚马逊工作时在Capital One的服务器业务中担任工程师。

亚马逊表示,他们的客户能够完全控制他们自己开发的应用程序,现在没有任何证据表明其基础云服务受到了损害。

刑事起诉书称,7月17日,有一名线人致信Capital One,警告该行的一些数据似乎已被泄露。

Capital One意识到,这份警告说的是Thompson在帖子里说她想要分发这些被窃取的材料。在6月27日,她还列出了几家公司,政府机构和教育机构,调查人员将其解释为“可能在承认其他的黑客行为”。

周一,联邦调查局(fbi)特工对Thompson的房子执行了搜查令。检方称,他们缴获了大量数字设备,并在这些设备上发现了涉及Capital One和亚马逊(Amazon)的物品。

安全漏洞是一个持续且代价高昂的威胁

Capital One表示,银行账户号码与持有安全信用卡的客户有关,有担保的信用卡要求客户支付200美元或250美元。分析师马特舒尔茨(Matt Schulz)说,这是银行将贷款给信用状况不佳或刚刚起步的人的风险降至最低的一种方式。他说,“这些客户很脆弱,而且往往没有多少财务上的容错余地。”

尽管此次入侵可能是由于Capital One的安全漏洞,但Thompson的专业技能为其提供了帮助。社交媒体上发布的信息显示,她在亚马逊工作时在Capital one使用的服务器业务中担任工程师。

对金融业来说,安全漏洞是一个持续且代价高昂的威胁。在2017年的一次入侵中,Capital One通知客户,一名前雇员可能近4个月来一直可以访问他们的个人数据,包括账户号码、电话号码、交易历史和社保号码。该公司报告称,2014年也有遭到类似的攻击。

相关报道:

http://press.capitalone.com/phoenix.zhtml?c=251626&p=irol-newsArticle&ID=2405043
https://www.nytimes.com/2019/07/29/business/capital-one-data-breach-hacked.html
Comments are closed.