美國最大的銀行之一Capital One客戶信息服務(wù)器被黑,導(dǎo)致超過1億人的個人數(shù)據(jù)被竊取。
根據(jù)法庭文件,嫌疑犯是33歲的女工程師Paige Thompson,Thompson曾供職于亞馬遜網(wǎng)絡(luò)服務(wù)(AWS),而AWS曾托管這次被泄露的Capital One數(shù)據(jù)庫。
因為覺得AWS安全可靠,Capital One幾乎使用或試用了AWS的所有產(chǎn)品來開發(fā)、測試、構(gòu)建和運行其最關(guān)鍵的工作,包括全新的旗艦產(chǎn)品:手機銀行應(yīng)用程序。Capital One的CTO還在AWS re:Invent2015上發(fā)表了主題演講。
留下線索供警察調(diào)查
據(jù)紐約時報報道,Thompson的網(wǎng)名叫做“erratic”(意為漂泊不定的人、古怪的人)。對于自己的黑客工作,Thompson從不羞于啟齒,她在Meetup上組織了一個名為Seattle Warez Kiddies的小組,這個小組被描述為“對分布式系統(tǒng)、編程、黑客攻擊和破解感興趣的人的聚集地”。
為了吹噓自己的黑客行為,她在網(wǎng)上留下線索供警察調(diào)查,F(xiàn).B.I.通過Thompson在Meetup上的痕跡追蹤到她的其他社交網(wǎng)絡(luò)動態(tài),并看到她在twitter和Slack上描述這次數(shù)據(jù)泄露的帖子。通過她過往帖子中的一張寵物發(fā)票照片,調(diào)查員最終核實了她的身份。之后,Thompson被捕并被指控犯有計算機欺詐和濫用罪。
銀行損失高達(dá)1.5億美元
根據(jù)法庭文件和Capital One的申明,Thompson竊取了14萬個社保號碼和8萬個銀行賬號。作為美國第三大信用卡發(fā)行商,Capital One周一表示,除了數(shù)千萬信用卡申請被盜外,還有100萬個加拿大社會保險號碼被盜,以及消費者和小企業(yè)早在2005年的信用卡申請,最近的一次是在2019年。
美國國家廣播公司(NBC)新聞主播萊斯特•霍爾特(Lester Holt)在一份聲明中表示:“根據(jù)我們迄今的分析,我們認(rèn)為這些信息不太可能被用于欺詐或被此人散布。”
Capital One也在官方聲明中表示,沒有信用卡帳號或登錄憑據(jù)被泄露,超過99%社會保障號未受損。銀行立即修復(fù)了漏洞,并承諾將為受影響的每個人提供免費的信用監(jiān)控和身份保護(hù)。
銀行預(yù)計此次損失高達(dá)1.5億美元,包括為受影響客戶支付信貸監(jiān)控的費用。上周,另一家美國征信巨頭Equifax就2017年的數(shù)據(jù)泄露事件達(dá)成和解,賠償了至少6.5億美元——該事件是美國歷史上最嚴(yán)重的數(shù)據(jù)安全事件,曝光了1.47億多名消費者的敏感信息,每人獲得125美元賠償。
通過對防火墻進(jìn)行“錯誤配置”獲得對敏感數(shù)據(jù)的訪問權(quán)限
亞馬遜的網(wǎng)絡(luò)服務(wù)托管公司的遠(yuǎn)程數(shù)據(jù)服務(wù)器,但是像Capital One這樣的大公司一般會在亞馬遜的云端數(shù)據(jù)上構(gòu)建自己的Web應(yīng)用程序以滿足自身需求。
調(diào)查此次違規(guī)行為的代理人在法庭文件中表示,Thompson通過對網(wǎng)絡(luò)應(yīng)用程序上的防火墻進(jìn)行“錯誤配置”獲得了對敏感數(shù)據(jù)的訪問權(quán)限。這使得黑客能夠與儲存Capital One的信息器通信,并最終獲取客戶文件。
盡管此次入侵可能是由于Capital One的安全漏洞,但Thompson的專業(yè)技能為其提供了幫助。社交媒體上發(fā)布的信息顯示,她在亞馬遜工作時在Capital One的服務(wù)器業(yè)務(wù)中擔(dān)任工程師。
亞馬遜表示,他們的客戶能夠完全控制他們自己開發(fā)的應(yīng)用程序,現(xiàn)在沒有任何證據(jù)表明其基礎(chǔ)云服務(wù)受到了損害。
刑事起訴書稱,7月17日,有一名線人致信Capital One,警告該行的一些數(shù)據(jù)似乎已被泄露。
Capital One意識到,這份警告說的是Thompson在帖子里說她想要分發(fā)這些被竊取的材料。在6月27日,她還列出了幾家公司,政府機構(gòu)和教育機構(gòu),調(diào)查人員將其解釋為“可能在承認(rèn)其他的黑客行為”。
周一,聯(lián)邦調(diào)查局(fbi)特工對Thompson的房子執(zhí)行了搜查令。檢方稱,他們繳獲了大量數(shù)字設(shè)備,并在這些設(shè)備上發(fā)現(xiàn)了涉及Capital One和亞馬遜(Amazon)的物品。
安全漏洞是一個持續(xù)且代價高昂的威脅
Capital One表示,銀行賬戶號碼與持有安全信用卡的客戶有關(guān),有擔(dān)保的信用卡要求客戶支付200美元或250美元。分析師馬特舒爾茨(Matt Schulz)說,這是銀行將貸款給信用狀況不佳或剛剛起步的人的風(fēng)險降至最低的一種方式。他說,“這些客戶很脆弱,而且往往沒有多少財務(wù)上的容錯余地。”
盡管此次入侵可能是由于Capital One的安全漏洞,但Thompson的專業(yè)技能為其提供了幫助。社交媒體上發(fā)布的信息顯示,她在亞馬遜工作時在Capital one使用的服務(wù)器業(yè)務(wù)中擔(dān)任工程師。
對金融業(yè)來說,安全漏洞是一個持續(xù)且代價高昂的威脅。在2017年的一次入侵中,Capital One通知客戶,一名前雇員可能近4個月來一直可以訪問他們的個人數(shù)據(jù),包括賬戶號碼、電話號碼、交易歷史和社保號碼。該公司報告稱,2014年也有遭到類似的攻擊。
