美国银行信息泄露 1亿多用户信息被黑客窃取
美国第七大商业银行第一资本银行当地时间29日宣布,大约一亿美国人和600万加拿大人的个人信息遭一名“黑客”窃取。目前,犯罪嫌疑人已经被逮捕。
本月17日,一名“源码托管服务公司”的用户看到有人通过网站发布“第一资本”银行客户的个人信息,随后提醒银行可能遭到了黑客入侵。
29日,“第一资本”发表声明,证实在19日发现系统基础架构的“配置漏洞”,导致大约一亿美国用户的信息在今年3月12日到7月17日期间被黑客窃取——其中大部分失窃数据是个人和小企业用户从2005年到今年初申请信用卡时所提供的信息,包括:姓名、地址、电话号码、出生日期,以及个人收入等。
“第一资本”强调说,黑客并没有获得用户的信用卡账号和登录密码,但有大约14万美国人的社会安全号码以及与之关联的八万个银行储蓄卡账号被盗;另外还有大约100万加拿大人的社会保险号外泄。
第一资本银行董事长兼首席执行官费尔班克29日发表声明,对个人信息遭窃取的用户表示道歉,并承诺将“纠正错误”。
“第一资本”的总部位于美国弗吉尼亚州,目前的资产估值为3736亿美元——此次数据外泄可能让这家银行今年的经营成本增加一亿至1.5亿美元,用于赔偿受影响的用户。
有业内专家指出,近些年来,美国金融机构用户个人信息泄露事件频繁发生,早就不是什么新鲜事了。
美国银行信息泄露 幕后入侵的黑客故事
当天晚些时候,FBI逮捕了一名33岁的女软件工程师,并以“计算机欺诈罪”对她发起指控。这场被美国媒体称作“美国历史上最大规模的银行数据泄露事件”,就此火速告破,但它留下的一地鸡毛,远不止“第一资本银行约1亿至1.5亿美元的年度额外成本开支”。
先来认识一下这次事件的始作俑者——33岁的IT工程师,佩琪·汤姆森(Paige Thompson)。
就像攻击爆出后,更多美国吃瓜群众最关心的问题是:黑客是谁?一下子盗取多达1.06亿的用户信息,是有多厉害?
顶尖黑客用时30秒即破解美国最大银行系统,当然只是《剑鱼行动》这类电影才能开的金手指。不过,在全球著名黑客排行榜上,确实有这么一号把银行数据库当自家花园逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目标不乏花旗银行、美国银行在内的大金融机构,但他的兴趣在于发现安全漏洞,并且通常还会告知企业相关的漏洞。
相比而言,导致本次大规模信息泄露的“元凶”,就有几分“监守自盗”的嫌疑。
事实上,2015年5月至2016年9月间,佩琪曾在与第一资本银行合作的云托管公司——亚马逊简单云存储服务(Amazon S3)公司担任系统工程师。这次她就是利用Web漏洞扫描工具,获得S3服务器的部分访问权,并提取了第一资本银行相关的文件。
佩琪“摸进”了美国第七大银行的信息库,不想却“死于话多”。据FBI介绍,今年3月,一个网名erratic的用户在“美国版钉钉”Slack上“炫耀”,称自己通过入侵获取了第一资本银行的用户信息文件。7月17日,在美国代码存放网站和开源社区GitHub上,同一网名用户发布了相关信息链接。看到这篇帖子的网友第一时间截图警告了第一资本银行,银行方随即报案。可以说,在此前的一周多时间里,FBI通过暗地里调查,牢牢固定佩琪就是网络用户“erratic”的证据链。
FBI特工Joel Martini表示,佩琪甚至没有什么刻意掩盖行踪的举动。戳开GitHub的用户信息页,她的真实姓名——甚至包括middle name——都大摇大摆地横在那里,更别提她的推特昵称,直接就是“erratic”。正因为如此,FBI网络工作小组早早就锁定了佩琪,并很快发现她在一条推特私信中写道,“想把黑来的用户姓名、社会安全号码公布出去”。
佩琪被逮捕后,FBI在她位于西雅图的住所,搜出了内含盗取信息复制档案的电子储存设备。有推特网友吐槽:“还以为会是另一个Kevin Mitnick(世界头号黑客),没想到是个努力吸睛的孤独症患者。”尽管自称有“社交障碍”,但佩琪·汤姆森在互联网上很有表达欲。她说自己是自学成才,读了一年贝尔维尤社区学院就辍学,因为没有学历所以不得不频繁更换工作,希望自己有朝一日能重回校园……甚至于,她自称通过手术成为女人。
据悉,这起诉讼将于当地时间8月1日举行听证会,若罪名成立,佩琪将面临5年的刑期及25万美元的罚金。
但对于第一资本银行来说,“美国银行信息泄露”事件离尘埃落定还相当遥远。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。