Amazon前工程师黑进第一资本Capital One银行系统,上亿用户资料外洩

黑客利用防火墙漏洞进入第一资本（Capital One）银行系统，盗取了 1 亿名用户资料，这也是 2017 年美国三大信贷机构易速传真（Equifax）被骇之后最大规模的金融机构资安事件。

第一资本是美国最积极拥抱科技的银行之一，在财星 500 大企业中，位列 98 名，也是全美第二大汽车金融机构。第一资本 CEO Richard D. Fairabank 表示，这次事件发生在今年 3 月，共有两次攻击，骇客窃取了 1 亿名美国用户与 600 万加拿大用户资料，窃取的资讯包括姓名、住址、电话、生日、所得证明、信用分数与交易纪录。此外，约有 14 万人社会安全号码被盗取，同时有 8 万人银行帐号外洩。

根据彭博报导，这名来自西雅图的骇客是一位 33 岁的女性，Paige A. Thompson，昨日被逮捕，检方求刑 5 年监禁，同时还要支付 25 万美元罚金。Thompson 曾任职于 Amazon 的云端服务 AWS，担任系统工程师，受害的 Capital One 则是少数不使用私有云，而採用 AWS 公有云的银行，因此也引发 AWS 对本案件的关注。

AWS 发言人指出，根据目前调查的内容，以及犯人供称，骇入原因与 AWS 服务无关，而是因为第一资本的防火牆设定失误。犯人甚至还在今年初，就把她发现的防火牆漏洞贴至 GitHub。FBI 调查员则指出，Thompson 虽然使用 VPN 和 Tor 浏览器等加密管道攻击，然而她自己却在 Twitter 和 Slack 贴文，讨论整起事件，甚至还有网友留言「拜託别被抓。」

根据 FBI 探员的报告说明，第一资本甚至在 6 月中收到匿名信件，告知他们有人正在窃取用户资料，并且还提供 Paige Thompson 的 GitHub 贴文讯息，而引起第一资本关注。

回顾上一次金融机构大规模洩密案，易速传真（Equifax）在 2017 年被骇了 1 亿 4 千万用户资料，相当于半数美国人口，随后易速传真与联邦交易委员会达成协议，并在这个月公告，受害用户将可提出补偿申请，依个资外洩程度不同，每人最高将可获赔 20,000 美元。

TechCrunch 则指出，易速传真被骇事件后，执法单位等了两年才让他们开始赔偿，让易速传真有时间先填补漏洞，其次缓解事件爆发时股价重挫的财务危机，更糟的是，从易速传真事件爆发到第一资本事件，美国国会与监管机关并没有积极作为，改善这些银行的资讯安全措施，而真正受惩罚的，是骇客被罚了 25 万美元，而所有用户资料依然暴露在风险中。