駭客利用防火牆漏洞進入第一資本(Capital One)銀行系統,盜取了 1 億名用戶資料,這也是 2017 年美國三大信貸機構易速傳真(Equifax)被駭之後最大規模的金融機構資安事件。
第一資本是美國最積極擁抱科技的銀行之一,在財星 500 大企業中,位列 98 名,也是全美第二大汽車金融機構。第一資本 CEO Richard D. Fairabank 表示,這次事件發生在今年 3 月,共有兩次攻擊,駭客竊取了 1 億名美國用戶與 600 萬加拿大用戶資料,竊取的資訊包括姓名、住址、電話、生日、所得證明、信用分數與交易紀錄。此外,約有 14 萬人社會安全號碼被盜取,同時有 8 萬人銀行帳號外洩。
根據彭博報導,這名來自西雅圖的駭客是一位 33 歲的女性,Paige A. Thompson,昨日被逮捕,檢方求刑 5 年監禁,同時還要支付 25 萬美元罰金。Thompson 曾任職於 Amazon 的雲端服務 AWS,擔任系統工程師,受害的 Capital One 則是少數不使用私有雲,而採用 AWS 公有雲的銀行,因此也引發 AWS 對本案件的關注。
AWS 發言人指出,根據目前調查的內容,以及犯人供稱,駭入原因與 AWS 服務無關,而是因為第一資本的防火牆設定失誤。犯人甚至還在今年初,就把她發現的防火牆漏洞貼至 GitHub。FBI 調查員則指出,Thompson 雖然使用 VPN 和 Tor 瀏覽器等加密管道攻擊,然而她自己卻在 Twitter 和 Slack 貼文,討論整起事件,甚至還有網友留言「拜託別被抓。」
根據 FBI 探員的報告說明,第一資本甚至在 6 月中收到匿名信件,告知他們有人正在竊取用戶資料,並且還提供 Paige Thompson 的 GitHub 貼文訊息,而引起第一資本關注。
回顧上一次金融機構大規模洩密案,易速傳真(Equifax)在 2017 年被駭了 1 億 4 千萬用戶資料,相當於半數美國人口,隨後易速傳真與聯邦交易委員會達成協議,並在這個月公告,受害用戶將可提出補償申請,依個資外洩程度不同,每人最高將可獲賠 20,000 美元。
TechCrunch 則指出,易速傳真被駭事件後,執法單位等了兩年才讓他們開始賠償,讓易速傳真有時間先填補漏洞,其次緩解事件爆發時股價重挫的財務危機,更糟的是,從易速傳真事件爆發到第一資本事件,美國國會與監管機關並沒有積極作為,改善這些銀行的資訊安全措施,而真正受懲罰的,是駭客被罰了 25 萬美元,而所有用戶資料依然暴露在風險中。
- Capital One Says Breach Hit 100 Million Individuals in U.S.
- Capital One’s breach was inevitable, because we did nothing after Equifax
- Hacker ID’d as former Amazon employee steals data of 106 million people from Capital One
(首圖來源:pixabay)
