藝高人膽大?美銀行「Capital One」1億用戶資料外洩,女駭客上網炫耀「傑作」後落網

2019-07-30 23:16

? 人氣

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩,美國超過1億用戶、加拿大逾600萬客戶的個資都受到影響,據悉駭客盜取了包含姓名、地址、電話號碼與信用評分信息等信用卡申請資料。此案是史上最大規模的金融資安事件之一,估計讓該公司損失至少1億5000萬美元。一名33歲來自西雅圖的女駭客已經落網,她事後在網路上吹噓自己的「傑作」,因而被列為主嫌。

高調分享「傑作」,亞馬遜前工程師遭逮

根據西雅圖法院文件,33歲的女嫌湯普森(Paige Thompson)在推特(Twitter)、開源代碼平台「Github」及通訊平台「Slack」上面,透漏自己在3月12日至7月17日間竊取的「第一資本」(Capital One)用戶資料,更有網友為她祈禱「千萬別被抓」。不過湯普森的高調行徑早引起美國聯邦調查人員的注意,現已遭逮捕,被指控違反《電腦欺詐和濫用法》(Computer Fraud and Abuse Act,CFAA)。

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)
美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)

湯普森先前是亞馬遜網路服務公司(AWS)的系統工程師,該公司為「第一資本」銀行遭竊的資料庫提供數據服務。湯普森毫不掩飾其駭客身分,會在社群網站「Meet up」上組織駭客同好會「西雅圖破解小子」(Seattle Warez Kiddies)。

美國聯邦調查局(FBI)注意到她在「Meet up」上的活躍度,並追蹤她在網路上的其他行為,最終發現她在推特等網路平台上自誇:「我基本上把自己用炸彈背心困住了,落下第一資本(的線索),並承認(我做的)。」

湯普森的發文帳號ID為「飄忽不定」(erratic),調查人員發現她在該帳號頁面上,曾上傳帶寵物看獸醫的收據,因而進一步確認其身分。湯普森甚至還在今年初,把她發現的「第一資本」資料庫防火牆漏洞貼至GitHub,引發網友關注,「第一資本」今年7月17日因此收到匿名信函,告知資料有外洩疑慮。

銀行帳號、訊息個資……1億筆信用卡資料外洩

根據法庭文件敘述,湯普森駭入「第一資本」伺服器後,盜取14萬組美國社會安全號碼,100 萬組加拿大社會保險號碼,以及8萬組銀行帳號,還有大量用戶姓名、地址、信用評分、信用額度以及餘額等個人信息。

亞馬遜網路服務公司發言人則指出,他們與「第一資本」的合作包含提供雲端基礎設施,讓「第一資本」構建並完全控制應用軟體,因此遭駭的原因與AWS服務疏失無關,而是因為第一資本自己的防火牆設定失誤。

「第一資本」是美國最大的信用卡發行公司與銀行之一,名列《財星》(Fortune)雜誌500強企業,擁有上億信用卡與銀行存款客戶,因此掌握了大量消費者數據。

喜歡這篇文章嗎?

蔡娪嫣喝杯咖啡,

告訴他這篇文章寫得真棒!

來自贊助者的話
關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章