Capital One 客戶數(shù)據(jù)的大規(guī)模泄露已經(jīng)影響到 1 億多美國用戶及 600 萬加拿大用戶。
由于云錯誤配置�,黑客能夠能夠輕易地連接到信貸服務(wù)應(yīng)用����,獲取用戶的社會安全號碼和銀行賬號��,這是有史以來金融服務(wù)公司遭遇的最大數(shù)據(jù)泄露事件之一�����,在規(guī)模上與 2017 年的 Equifax 事件不相上下。
美國聯(lián)邦調(diào)查局已經(jīng)逮捕了此案的一名嫌疑人:亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 的前工程師佩吉·湯普森�,此前她曾在 GitHub 上吹噓自己的數(shù)據(jù)被盜���。
根據(jù)在華盛頓聯(lián)邦檢察官辦公室西區(qū)提交的一份刑事訴狀�,該入侵發(fā)生在 3 月 19 日至 7 月 17 日之間�����,通過一個「配置錯誤的 web 應(yīng)用程序防火墻」���。
這些非法訪問的數(shù)據(jù)存儲在從 AWS 租用的云服務(wù)器上���,主要與 2005 年至 2019 年初消費者和企業(yè)的信用卡應(yīng)用程序有關(guān)。
這些信息包括大量的個人信息�,如姓名����、地址和出生日期����;以及財務(wù)信息,包括自我報告的收入和信用評分。
Capital One 表示��,沒有信用卡賬號或登錄憑證受到攻擊����,只有大約 14 萬個社會安全號碼受到影響,這意味著「99% 以上的社會安全號碼」沒有受到影響。
在加拿大���,大約有 100 萬個社會保險號碼被泄露。
曝光的數(shù)據(jù)還包括 2016 年、2017 年和 2018 年 23 天的信用評分�����、信用額度�����、余額���、支付歷史����、聯(lián)系方式和交易數(shù)據(jù)片段���。
Capital One 首席執(zhí)行官理查德·費爾班克 (Richard Fairbank) 在一份聲明中表示:「我真誠地為這起事件引發(fā)的擔憂道歉���,這種擔憂是可以理解的����,我一定會糾正這種擔憂。
」該公司補充稱,它已修復(fù)了所謂的「配置漏洞」,而且「這些信息不太可能被用于欺詐或由此人傳播」——不過調(diào)查仍在進行中����。
該公司已承諾對受影響者進行信用監(jiān)控�����,但反網(wǎng)絡(luò)釣魚公司 Lucy Security 的首席執(zhí)行官科林·巴斯塔布爾 (Copn Bastable) 表示,Capital Bank 等銀行及其員工應(yīng)在事件發(fā)生后采取更多行動,以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)釣魚攻擊�。
巴斯塔布在一份電子郵件聲明中解釋說:「在長達 12 個月的信用監(jiān)測結(jié)束后��,Capital One 的受害者將在未來數(shù)年內(nèi)被『捕撈』。
」「黑色網(wǎng)絡(luò)對大多數(shù)北美人的了解可能比他們的政府公開承認的要多。
雇主需要通過確保員工有安全意識來保護自己����。
」嫌疑人湯普森在網(wǎng)絡(luò)對話中使用了「erratic」的化名�,據(jù)稱他在 GitHub 和社交媒體上多次發(fā)布了有關(guān)盜竊的信息��。
一個用戶名為「erratic」的推特賬號上的帖子寫道:「我基本上是把自己綁在炸彈背心上����,F(xiàn)*cking 該死的 CapitalOne����,兵承認是自己做的。
」Capital One 遭黑客入侵的消息傳出之前,美國信用監(jiān)測機構(gòu) Equifax 上周同意支付至多 7 億美元,以解決 2017 年發(fā)生在該公司的一起類似事件�����。
那次事件影響了近 1.5 億客戶�。
亞馬遜方面則指出�����,法庭文件和 Capital One 的聲明承認存在配置錯誤�����。
該公司發(fā)言人對彭博社 (Bloomberg) 表示,Capital One 的數(shù)據(jù)不是通過 AWS 系統(tǒng)的漏洞訪問的�。
「Capital One 的入侵證明�����,企業(yè)在有效部署安全技術(shù)方面還有很多需要學習的地方,」Immersive Labs 首席執(zhí)行官詹姆斯·哈德利 (James Hadley) 通過電子郵件表示�。
從他們對這次入侵的描述來看����,你會認為這是一個利用漏洞的精英黑客�����,這是情有可原的�����。
事實上,正如聯(lián)邦調(diào)查局所說��,只是一個配置不良的防火墻允許黑客進入����。
」Darktrace 網(wǎng)絡(luò)情報總監(jiān)賈斯汀·菲爾 (Justin Fier) 也同意了巴斯塔布的警告,他表示��,抓捕行兇者——如果她被證明有罪——并不能保證數(shù)據(jù)尚未進入黑暗網(wǎng)絡(luò)�。
「在新的數(shù)字時代����,數(shù)據(jù)就是貨幣,一旦落入不法之徒之手,它就會像野火一樣在犯罪團伙中蔓延,」費伊爾補充說����。
