藝高人膽大?美銀行「Capital One」1億用戶資料外洩,女駭客上網炫耀「傑作」後落網

2019-07-30 23:16

? 人氣

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩,美國超過1億用戶、加拿大逾600萬客戶的個資都受到影響,據悉駭客盜取了包含姓名、地址、電話號碼與信用評分信息等信用卡申請資料。此案是史上最大規模的金融資安事件之一,估計讓該公司損失至少1億5000萬美元。一名33歲來自西雅圖的女駭客已經落網,她事後在網路上吹噓自己的「傑作」,因而被列為主嫌。

高調分享「傑作」,亞馬遜前工程師遭逮

根據西雅圖法院文件,33歲的女嫌湯普森(Paige Thompson)在推特(Twitter)、開源代碼平台「Github」及通訊平台「Slack」上面,透漏自己在3月12日至7月17日間竊取的「第一資本」(Capital One)用戶資料,更有網友為她祈禱「千萬別被抓」。不過湯普森的高調行徑早引起美國聯邦調查人員的注意,現已遭逮捕,被指控違反《電腦欺詐和濫用法》(Computer Fraud and Abuse Act,CFAA)。

美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)
美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩。(AP)

湯普森先前是亞馬遜網路服務公司(AWS)的系統工程師,該公司為「第一資本」銀行遭竊的資料庫提供數據服務。湯普森毫不掩飾其駭客身分,會在社群網站「Meet up」上組織駭客同好會「西雅圖破解小子」(Seattle Warez Kiddies)。

美國聯邦調查局(FBI)注意到她在「Meet up」上的活躍度,並追蹤她在網路上的其他行為,最終發現她在推特等網路平台上自誇:「我基本上把自己用炸彈背心困住了,落下第一資本(的線索),並承認(我做的)。」

湯普森的發文帳號ID為「飄忽不定」(erratic),調查人員發現她在該帳號頁面上,曾上傳帶寵物看獸醫的收據,因而進一步確認其身分。湯普森甚至還在今年初,把她發現的「第一資本」資料庫防火牆漏洞貼至GitHub,引發網友關注,「第一資本」今年7月17日因此收到匿名信函,告知資料有外洩疑慮。

銀行帳號、訊息個資……1億筆信用卡資料外洩

根據法庭文件敘述,湯普森駭入「第一資本」伺服器後,盜取14萬組美國社會安全號碼,100 萬組加拿大社會保險號碼,以及8萬組銀行帳號,還有大量用戶姓名、地址、信用評分、信用額度以及餘額等個人信息。

亞馬遜網路服務公司發言人則指出,他們與「第一資本」的合作包含提供雲端基礎設施,讓「第一資本」構建並完全控制應用軟體,因此遭駭的原因與AWS服務疏失無關,而是因為第一資本自己的防火牆設定失誤。

「第一資本」是美國最大的信用卡發行公司與銀行之一,名列《財星》(Fortune)雜誌500強企業,擁有上億信用卡與銀行存款客戶,因此掌握了大量消費者數據。

「第一資本」表示,駭客攻擊發生在今年3月22日和23日,公司發現數據保護出現漏洞,便立即排除問題,受影響的客戶包含2005年至2009年期間申請信用卡的個人與中小企業,聲明稱:「依據目前的分析,我們認為這名嫌犯不太可能將信息用於欺詐或任意散布。」

金融機構資安危機不容小覷,「第一資本」損失至少1億5000萬元

「第一資本」董事長兼首席執行官費爾班克(Richard D. Fairbank)在聲明中表示:「我為此表達深切歉意。本次事件對客戶造成的憂慮都是完全可以理解的,我真誠地為此道歉,並承諾將修正一切錯誤。」「第一資本」表示將通知受此駭客攻擊影響的客戶,並提供免費的信用監控和身份保護服務,該公司預計將因此損失1億5000萬美元,包括客戶通知、信用監控、技術成本以及相關法律費用。

「第一資本」駭客攻擊事件再度突顯出金融機構面臨的資安威脅。在此之前的重大金融機構遭駭事件中,美國聯邦貿易委員會(FTC)上周剛就Equifax信評公司2017年遭駭一案,裁定對該公司罰款7億美元,其中4億2500萬元將直接賠償給1億4700萬名資料遭竊的客戶。

湯普森預定8月1日首度出庭應訊,FBI調查人員在她家中搜出眾多駭客設備。根據西雅圖法院文件,湯普森6月27日甚至在網路上列出其他政府、教育單位,檢方懷疑這些機構可能早被她下手駭入。

喜歡這篇文章嗎?

蔡娪嫣喝杯咖啡,

告訴他這篇文章寫得真棒!

來自贊助者的話
關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章

你可能也想看