美国金融业再次曝出重大数据泄露事件 前亚马逊员工被逮捕
Capital One 客户数据的大规模泄露已经影响到 1 亿多美国用户及 600 万加拿大用户。
由于云错误配置,黑客能够能够轻易地连接到信贷服务应用,获取用户的社会安全号码和银行账号,这是有史以来金融服务公司遭遇的最大数据泄露事件之一,在规模上与 2017 年的 Equifax 事件不相上下。
美国联邦调查局已经逮捕了此案的一名嫌疑人:亚马逊网络服务 (AWS) 的前工程师佩吉·汤普森,此前她曾在 GitHub 上吹嘘自己的数据被盗。
根据在华盛顿联邦检察官办公室西区提交的一份刑事诉状,该入侵发生在 3 月 19 日至 7 月 17 日之间,通过一个「配置错误的 web 应用程序防火墙」。
这些非法访问的数据存储在从 AWS 租用的云服务器上,主要与 2005 年至 2019 年初消费者和企业的信用卡应用程序有关。这些信息包括大量的个人信息,如姓名、地址和出生日期;以及财务信息,包括自我报告的收入和信用评分。
Capital One 表示,没有信用卡账号或登录凭证受到攻击,只有大约 14 万个社会安全号码受到影响,这意味着「99% 以上的社会安全号码」没有受到影响。在加拿大,大约有 100 万个社会保险号码被泄露。
曝光的数据还包括 2016 年、2017 年和 2018 年 23 天的信用评分、信用额度、余额、支付历史、联系方式和交易数据片段。
Capital One 首席执行官理查德·费尔班克 (Richard Fairbank) 在一份声明中表示:「我真诚地为这起事件引发的担忧道歉,这种担忧是可以理解的,我一定会纠正这种担忧。」
该公司补充称,它已修复了所谓的「配置漏洞」,而且「这些信息不太可能被用于欺诈或由此人传播」——不过调查仍在进行中。
该公司已承诺对受影响者进行信用监控,但反网络钓鱼公司 Lucy Security 的首席执行官科林·巴斯塔布尔 (Colin Bastable) 表示,Capital Bank 等银行及其员工应在事件发生后采取更多行动,以发现潜在的网络钓鱼攻击。
巴斯塔布在一份电子邮件声明中解释说:「在长达 12 个月的信用监测结束后,Capital One 的受害者将在未来数年内被『捕捞』。」「黑色网络对大多数北美人的了解可能比他们的政府公开承认的要多。雇主需要通过确保员工有安全意识来保护自己。」
嫌疑人汤普森在网络对话中使用了「erratic」的化名,据称他在 GitHub 和社交媒体上多次发布了有关盗窃的信息。一个用户名为「erratic」的推特账号上的帖子写道:「我基本上是把自己绑在炸弹背心上,F*cking 该死的 CapitalOne,兵承认是自己做的。」
Capital One 遭黑客入侵的消息传出之前,美国信用监测机构 Equifax 上周同意支付至多 7 亿美元,以解决 2017 年发生在该公司的一起类似事件。那次事件影响了近 1.5 亿客户。
亚马逊方面则指出,法庭文件和 Capital One 的声明承认存在配置错误。该公司发言人对彭博社 (Bloomberg) 表示,Capital One 的数据不是通过 AWS 系统的漏洞访问的。
「Capital One 的入侵证明,企业在有效部署安全技术方面还有很多需要学习的地方,」Immersive Labs 首席执行官詹姆斯·哈德利 (James Hadley) 通过电子邮件表示。从他们对这次入侵的描述来看,你会认为这是一个利用漏洞的精英黑客,这是情有可原的。事实上,正如联邦调查局所说,只是一个配置不良的防火墙允许黑客进入。」
Darktrace 网络情报总监贾斯汀·菲尔 (Justin Fier) 也同意了巴斯塔布的警告,他表示,抓捕行凶者——如果她被证明有罪——并不能保证数据尚未进入黑暗网络。「在新的数字时代,数据就是货币,一旦落入不法之徒之手,它就会像野火一样在犯罪团伙中蔓延,」费伊尔补充说。