VAT跨境财税网上平台
VAT > 行业新闻 >

Amazon前工程师黑进第一资本Capital One银行系统,上亿用户资料外洩

Amazon前工程师黑进第一资本Capital One银行系统,上亿用户资料外洩

黑客利用防火墙漏洞进入第一资本(Capital One)银行系统,盗取了 1 亿名用户资料,这也是 2017 年美国三大信贷机构易速传真(Equifax)被骇之后最大规模的金融机构资安事件。

第一资本是美国最积极拥抱科技的银行之一,在财星 500 大企业中,位列 98 名,也是全美第二大汽车金融机构。第一资本 CEO Richard D. Fairabank 表示,这次事件发生在今年 3 月,共有两次攻击,骇客窃取了 1 亿名美国用户与 600 万加拿大用户资料,窃取的资讯包括姓名、住址、电话、生日、所得证明、信用分数与交易纪录。此外,约有 14 万人社会安全号码被盗取,同时有 8 万人银行帐号外洩。

根据彭博报导,这名来自西雅图的骇客是一位 33 岁的女性,Paige A. Thompson,昨日被逮捕,检方求刑 5 年监禁,同时还要支付 25 万美元罚金。Thompson 曾任职于 Amazon 的云端服务 AWS,担任系统工程师,受害的 Capital One 则是少数不使用私有云,而採用 AWS 公有云的银行,因此也引发 AWS 对本案件的关注。

AWS 发言人指出,根据目前调查的内容,以及犯人供称,骇入原因与 AWS 服务无关,而是因为第一资本的防火牆设定失误。犯人甚至还在今年初,就把她发现的防火牆漏洞贴至 GitHub。FBI 调查员则指出,Thompson 虽然使用 VPN 和 Tor 浏览器等加密管道攻击,然而她自己却在 Twitter 和 Slack 贴文,讨论整起事件,甚至还有网友留言「拜託别被抓。」

根据 FBI 探员的报告说明,第一资本甚至在 6 月中收到匿名信件,告知他们有人正在窃取用户资料,并且还提供 Paige Thompson 的 GitHub 贴文讯息,而引起第一资本关注。

回顾上一次金融机构大规模洩密案,易速传真(Equifax)在 2017 年被骇了 1 亿 4 千万用户资料,相当于半数美国人口,随后易速传真与联邦交易委员会达成协议,并在这个月公告,受害用户将可提出补偿申请,依个资外洩程度不同,每人最高将可获赔 20,000 美元。

TechCrunch 则指出,易速传真被骇事件后,执法单位等了两年才让他们开始赔偿,让易速传真有时间先填补漏洞,其次缓解事件爆发时股价重挫的财务危机,更糟的是,从易速传真事件爆发到第一资本事件,美国国会与监管机关并没有积极作为,改善这些银行的资讯安全措施,而真正受惩罚的,是骇客被罚了 25 万美元,而所有用户资料依然暴露在风险中。


(责任编辑:跨境财税)