美国Capital One银行去年7月遭黑客入侵云计算系统,遭黑客窃取上亿用户个人信息及企业信息,本周边主管机关处以8千万美元民事罚金。
美国财政部辖下的货币监理官办公室(Office of the Comptroller of the Currency,OCC)指出,之所以做出这项处分,是因Capital One在把重要信息搬移到公有云环境前未能创建有效的风险评估流程,并及时修补缺失。但所幸银行迅速通知客户及补救。
OCC指出,虽然它鼓励所有银行采取“负责任”的创新,但是健全的风险管理及内部管控才是确保银行安全运行、提供客户充分防护的关键,OCC认为Capital One的缺失造成了不安全的环境,也违反了《创建信息安全标准跨部会指引》的法规。
去年3、4月Capital One员工Paige Thompson利用对公有云AWS的了解,利用网络防火墙组态漏洞而黑入该银行托管在AWS S3服务的客户数据库,超过1亿名北美客户资料遭访问,包括解密了部分资料。事后警方发现她也窃取了30多家企业、教育机构及其他实体组织的资料达数Terabyte。
不过Capital One仍然提供了加密及部分资料字段变造(tokenized),像是社会安全码与银行账号等,因而减少资料损失的幅度。Capital One银行指出,该公司原有的安全措施协助警方更快逮捕到黑客,他们也进一步强化了网络防护及管控流程,以防止类似事件再发生。