全美資產額最大的銀行摩根大通(JPMorgan Chase)2日承認,高達8300萬個銀行帳戶資料遭到駭客竊取,這也是資料外洩史上規模最大宗的案件之一。摩根大通強調,帳戶內的存款與金融資料仍然安全,客戶沒有更換密碼的必要。但華爾街的資安信心依然受到動搖,企業也要求美國聯邦調查局(FBI)投入調查。
共7600萬個家庭與700萬個小型企業帳戶的姓名、地址、電話號碼與電子郵件資料外流,摩根大通發言人威克斯勒(Patricia Wexler)表示,大部分受影響者為現有帳戶持有人,但也包括部分先前用戶、與銀行網站查詢個人聯絡資訊的使用者。
但威克斯勒表示,沒有證據顯示帳戶號碼、密碼、使用者ID、生日與社會安全號碼(SSN)資料遭竊,也沒有發現與這起攻擊相關的「異常顧客造假行為」。知情人士表示,外洩的資料屬於銀行行銷業務,與金融運作部分較無關聯。根據摩根大通網站說明,他們相信用戶沒有必要更換帳戶資料與密碼。
然而,這起攻擊已經顯示華爾街機構確實籠罩於網路犯罪陰影下。先前,銀行普遍被認為在資訊安全的投資與人員訓練上較為可靠,也未有整個銀行內部系統被侵入的紀錄。2013年,美國目標百貨(Target)有4000萬名卡戶資料與7000萬顧客相關資料遭竊;美國家庭建材零售商家得寶(Home Depot)9月也外洩了5600萬名卡戶資料。但摩根大通內存的資料,比單家零售商的用戶交易資料還要更為敏感。
專精網路犯罪的前聯邦檢察官羅許(Mark Rasch)提醒摩根大通用戶要提高受詐欺的警覺心。羅許表示,遭竊的資料時常被用以確認身分,對駭客與詐欺行為來說都很有用。資安專家也警告,這起大規模竊資案可能會增加網路犯罪量,因為資料可能被用以從事各種形式的詐欺案。
駭客已滲透內部伺服器
這樁攻擊始於6月,摩根大通資安團隊8月才發現,並予以防堵;《紐約時報》(New York Times)則指出,銀行於7月下旬已經知情。消息指出,駭客一開始似乎是透過一名員工的個人電腦進入公司網路,開始滲透。摩根大通員工可透過虛擬私人網路(VPN)在家存取公司網絡。
匿名消息指出,駭客掌握了摩根大通內部電腦使用的應用程式清單,可反覆查找已知的資安弱點、找出進入銀行系統的切入點。調查發現,駭客已滲透摩根大通逾90台伺服器,並取得多台伺服器的最高管理權限。目前還無法得知駭客如何做到這一點。
但駭客並未藉此偷走大筆財富,也令調查團隊感到不解。部分資安專家與執法人員懷疑這組駭客可能獲得俄國資助。2011年,一組可能與俄國有關的駭客團隊曾攻擊納斯達克-OMX集團(NASDAQ OMX),但未成功滲透進入交易系統,似乎也沒有任何東西被偷走。
先前,摩根大通表示大約有100萬個帳戶受到影響;隨著入侵規模逐漸水落石出,銀行被迫再次向客戶保證,存款與金融交易資料並未遭竊。若用戶發現帳號有任何未授權交易情況,也可免除責任。
然而,知情人士表示,摩根大通大概需花上數月更換應用程式,並與合作廠商重新協議授權協定;這段時間中,駭客可以更加深入了解銀行系統,提升未來再度遭駭的機率。
