美国金融业再次曝出重大数据泄露事件 前亚马逊员工被逮捕

Capital One 客户数据的大规模泄露已经影响到 1 亿多美国用户及 600 万加拿大用户。

由于云错误配置，黑客能够能够轻易地连接到信贷服务应用，获取用户的社会安全号码和银行账号，这是有史以来金融服务公司遭遇的最大数据泄露事件之一，在规模上与 2017 年的 Equifax 事件不相上下。

美国联邦调查局已经逮捕了此案的一名嫌疑人：亚马逊网络服务 (AWS) 的前工程师佩吉·汤普森，此前她曾在 GitHub 上吹嘘自己的数据被盗。

根据在华盛顿联邦检察官办公室西区提交的一份刑事诉状，该入侵发生在 3 月 19 日至 7 月 17 日之间，通过一个「配置错误的 web 应用程序防火墙」。

这些非法访问的数据存储在从 AWS 租用的云服务器上，主要与 2005 年至 2019 年初消费者和企业的信用卡应用程序有关。这些信息包括大量的个人信息，如姓名、地址和出生日期；以及财务信息，包括自我报告的收入和信用评分。

Capital One 表示，没有信用卡账号或登录凭证受到攻击，只有大约 14 万个社会安全号码受到影响，这意味着「99% 以上的社会安全号码」没有受到影响。在加拿大，大约有 100 万个社会保险号码被泄露。

曝光的数据还包括 2016 年、2017 年和 2018 年 23 天的信用评分、信用额度、余额、支付历史、联系方式和交易数据片段。

Capital One 首席执行官理查德·费尔班克 (Richard Fairbank) 在一份声明中表示:「我真诚地为这起事件引发的担忧道歉，这种担忧是可以理解的，我一定会纠正这种担忧。」

该公司补充称，它已修复了所谓的「配置漏洞」，而且「这些信息不太可能被用于欺诈或由此人传播」——不过调查仍在进行中。

该公司已承诺对受影响者进行信用监控，但反网络钓鱼公司 Lucy Security 的首席执行官科林·巴斯塔布尔 (Colin Bastable) 表示，Capital Bank 等银行及其员工应在事件发生后采取更多行动，以发现潜在的网络钓鱼攻击。

巴斯塔布在一份电子邮件声明中解释说:「在长达 12 个月的信用监测结束后，Capital One 的受害者将在未来数年内被『捕捞』。」「黑色网络对大多数北美人的了解可能比他们的政府公开承认的要多。雇主需要通过确保员工有安全意识来保护自己。」

嫌疑人汤普森在网络对话中使用了「erratic」的化名，据称他在 GitHub 和社交媒体上多次发布了有关盗窃的信息。一个用户名为「erratic」的推特账号上的帖子写道:「我基本上是把自己绑在炸弹背心上，F*cking 该死的 CapitalOne，兵承认是自己做的。」

Capital One 遭黑客入侵的消息传出之前，美国信用监测机构 Equifax 上周同意支付至多 7 亿美元，以解决 2017 年发生在该公司的一起类似事件。那次事件影响了近 1.5 亿客户。

亚马逊方面则指出，法庭文件和 Capital One 的声明承认存在配置错误。该公司发言人对彭博社 (Bloomberg) 表示，Capital One 的数据不是通过 AWS 系统的漏洞访问的。

「Capital One 的入侵证明，企业在有效部署安全技术方面还有很多需要学习的地方，」Immersive Labs 首席执行官詹姆斯·哈德利 (James Hadley) 通过电子邮件表示。从他们对这次入侵的描述来看，你会认为这是一个利用漏洞的精英黑客，这是情有可原的。事实上，正如联邦调查局所说，只是一个配置不良的防火墙允许黑客进入。」

Darktrace 网络情报总监贾斯汀·菲尔 (Justin Fier) 也同意了巴斯塔布的警告，他表示，抓捕行凶者——如果她被证明有罪——并不能保证数据尚未进入黑暗网络。「在新的数字时代，数据就是货币，一旦落入不法之徒之手，它就会像野火一样在犯罪团伙中蔓延，」费伊尔补充说。