黑客利用防火墙漏洞进入第一资本(Capital One)银行系统,盗取了1亿名用户数据,这也是2017年美国三大信贷机构易速传真(Equifax)被黑之后最大规模的金融机构安全事件。
第一资本是美国最积极拥抱科技的银行之一,在财富500大企业中,位列98名,也是全美第二大汽车金融机构。第一资本CEO Richard D. Fairabank表示,这次事件发生在今年3月,共有两次攻击,黑客窃取了1亿名美国用户与600万加拿大用户数据,窃取的信息包括姓名、住址、电话、生日、所得证明、信用分数与交易纪录。此外,约有14万人社会安全号码被盗取,同时有8万人银行帐号外泄。
根据彭博报导,这名来自西雅图的黑客是一位33岁的女性,Paige A. Thompson,昨日被逮捕,检方求刑5年监禁,同时还要支付25万美元罚金。Thompson曾任职于Amazon的云计算服务AWS,担任系统工程师,受害的Capital One则是少数不使用私有云,而采用AWS公有云的银行,因此也引发AWS对本案件的关注。
AWS发言人指出,根据目前调查的内容,以及犯人供称,黑入原因与AWS服务无关,而是因为第一资本的防火墙设置失误。犯人甚至还在今年初,就把她发现的防火墙漏洞贴至GitHub。FBI调查员则指出,Thompson虽然使用VPN和Tor浏览器等加密渠道攻击,然而她自己却在Twitter和Slack贴文,讨论整起事件,甚至还有网友留言“拜托别被抓。”
根据FBI探员的报告说明,第一资本甚至在6月中收到匿名信件,告知他们有人正在窃取用户数据,并且还提供Paige Thompson的GitHub贴文消息,而引起第一资本关注。
回顾上一次金融机构大规模泄密案,易速传真(Equifax)在2017年被黑了1亿4千万用户数据,相当于半数美国人口,随后易速传真与联邦交易委员会完成协议,并在这个月公告,受害用户将可提出补偿申请,依个人信息外泄程度不同,每人最高将可获赔20,000美元。
TechCrunch则指出,易速传真被黑事件后,执法单位等了两年才让他们开始赔偿,让易速传真有时间先填补漏洞,其次缓解事件爆发时股价重挫的财务危机,更糟的是,从易速传真事件爆发到第一资本事件,美国国会与监管机关并没有积极作为,改善这些银行的信息安全措施,而真正受惩罚的,是黑客被罚了25万美元,而所有用户数据依然暴露在风险中。
(首图来源:pixabay)