美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩,美國超過1億用戶、加拿大逾600萬客戶的個資都受到影響,據悉駭客盜取了包含姓名、地址、電話號碼與信用評分信息等信用卡申請資料。此案是史上最大規模的金融資安事件之一,估計讓該公司損失至少1億5000萬美元。一名33歲來自西雅圖的女駭客已經落網,她事後在網路上吹噓自己的「傑作」,因而被列為主嫌。
高調分享「傑作」,亞馬遜前工程師遭逮
根據西雅圖法院文件,33歲的女嫌湯普森(Paige Thompson)在推特(Twitter)、開源代碼平台「Github」及通訊平台「Slack」上面,透漏自己在3月12日至7月17日間竊取的「第一資本」(Capital One)用戶資料,更有網友為她祈禱「千萬別被抓」。不過湯普森的高調行徑早引起美國聯邦調查人員的注意,現已遭逮捕,被指控違反《電腦欺詐和濫用法》(Computer Fraud and Abuse Act,CFAA)。
湯普森先前是亞馬遜網路服務公司(AWS)的系統工程師,該公司為「第一資本」銀行遭竊的資料庫提供數據服務。湯普森毫不掩飾其駭客身分,會在社群網站「Meet up」上組織駭客同好會「西雅圖破解小子」(Seattle Warez Kiddies)。
美國聯邦調查局(FBI)注意到她在「Meet up」上的活躍度,並追蹤她在網路上的其他行為,最終發現她在推特等網路平台上自誇:「我基本上把自己用炸彈背心困住了,落下第一資本(的線索),並承認(我做的)。」
湯普森的發文帳號ID為「飄忽不定」(erratic),調查人員發現她在該帳號頁面上,曾上傳帶寵物看獸醫的收據,因而進一步確認其身分。湯普森甚至還在今年初,把她發現的「第一資本」資料庫防火牆漏洞貼至GitHub,引發網友關注,「第一資本」今年7月17日因此收到匿名信函,告知資料有外洩疑慮。
Hacker gained access to personal information from more than 100m Capital One credit applications, according to the bank on Monday. Paige A. Thompson, who also goes by the handle "erratic"was charged with a single count of computer fraud & abuse in U.S. District Court in Seattle. pic.twitter.com/1d75cm9CRe
— Tweet Latest News (@TweetLatestNews) July 30, 2019
銀行帳號、訊息個資……1億筆信用卡資料外洩
根據法庭文件敘述,湯普森駭入「第一資本」伺服器後,盜取14萬組美國社會安全號碼,100 萬組加拿大社會保險號碼,以及8萬組銀行帳號,還有大量用戶姓名、地址、信用評分、信用額度以及餘額等個人信息。
亞馬遜網路服務公司發言人則指出,他們與「第一資本」的合作包含提供雲端基礎設施,讓「第一資本」構建並完全控制應用軟體,因此遭駭的原因與AWS服務疏失無關,而是因為第一資本自己的防火牆設定失誤。
「第一資本」是美國最大的信用卡發行公司與銀行之一,名列《財星》(Fortune)雜誌500強企業,擁有上億信用卡與銀行存款客戶,因此掌握了大量消費者數據。
「第一資本」表示,駭客攻擊發生在今年3月22日和23日,公司發現數據保護出現漏洞,便立即排除問題,受影響的客戶包含2005年至2009年期間申請信用卡的個人與中小企業,聲明稱:「依據目前的分析,我們認為這名嫌犯不太可能將信息用於欺詐或任意散布。」
金融機構資安危機不容小覷,「第一資本」損失至少1億5000萬元
「第一資本」董事長兼首席執行官費爾班克(Richard D. Fairbank)在聲明中表示:「我為此表達深切歉意。本次事件對客戶造成的憂慮都是完全可以理解的,我真誠地為此道歉,並承諾將修正一切錯誤。」「第一資本」表示將通知受此駭客攻擊影響的客戶,並提供免費的信用監控和身份保護服務,該公司預計將因此損失1億5000萬美元,包括客戶通知、信用監控、技術成本以及相關法律費用。
「第一資本」駭客攻擊事件再度突顯出金融機構面臨的資安威脅。在此之前的重大金融機構遭駭事件中,美國聯邦貿易委員會(FTC)上周剛就Equifax信評公司2017年遭駭一案,裁定對該公司罰款7億美元,其中4億2500萬元將直接賠償給1億4700萬名資料遭竊的客戶。
湯普森預定8月1日首度出庭應訊,FBI調查人員在她家中搜出眾多駭客設備。根據西雅圖法院文件,湯普森6月27日甚至在網路上列出其他政府、教育單位,檢方懷疑這些機構可能早被她下手駭入。
Woman arrested in massive Capital One Breach , impacting over 100 million people: Paige A. Thompson, who goes by the nickname "erratic," was arrested on one count of computer fraud#erratic #paigeThompson #CapitalOneBreach #Hacker pic.twitter.com/qLo9JyS9nR
— Wilfrid Fettu (@WilfridFettu) July 30, 2019
