当地时间7月29日,美国三大信用卡公司之一Capital One(美国第一资本金融公司)表示,约有1亿美国信用卡客户和600万加拿大信用卡持有人、申请人的个人信息被黑客盗取,其中涉及110万个加拿大社会保险和美国社保账号,以及8万个关联银行账号。
这是有史以来涉及金融服务公司的最大数据盗窃案之一。
当地时间7月30日,纽约州总检察长莱蒂娅·詹姆斯(Letitia James)宣布,将立即对此案展开调查,并竭力为受影响的纽约市民提供帮助。
亚马逊前员工作案
Capital One是全美首屈一指的综合性金融机构,在信用卡、汽车贷款、家庭贷款、储蓄、个人信贷、保险等各方面业务都非常出色。
此次案件的发生,主要归因于该公司防火墙权限的设置问题。
Capital One是亚马逊网络服务(AWS)的云计算服务客户。一直以来,Capital One都通过自己的Web应用程序访问云端数据,但由于“防火墙配置错误”,让亚马逊前员工汤普森·佩奇(Thompson Paige)有机会“黑”进了Capital One的应用程序,非法访问用户数据。
▲图片来源:汤普森·佩奇Twitter账户
但奇怪的是,汤普森·佩奇在盗取用户信息后,并没有用于商业目的,而是上传到了全球最大的代码托管平台Github。
Capital One方面称,“根据迄今为止的分析,我们认为该信息不太可能被用于欺诈或个人传播。但我们将继续调查。”
要知道,Github的企业服务器及用户上传信息均需接受美国法律监管,佩奇的行为就相当于在警察眼皮底下作案,与“自投罗网”无异。
那么,她这么做的动机是什么?
佩奇此前的推特账号信息显示,其今年33岁,住在西雅图,有一定的心理健康问题。她最大的困扰就是“很难交到朋友”。有分析称,佩奇的作案动机类似于是在“报复社会”。
根据美国联邦调查局(FBI)的证词,佩奇在盗取数据后,还在社交媒体上用了一个叫“古怪的人”(Erratic)的网名,炫耀自己搞定了Capital One。
于是当局很快就通过这些线索,找到了佩奇,并将之逮捕。当地时间7月29日,佩奇在西雅图出庭,并被指控计算机欺诈和滥用,其推特账号也被查封。
云服务的风险
Capital One表示,此次事件将在2019年产生约1亿至1.5亿美元的增量成本,用于支付客户通知、信息监控以及技术和法律费用。除此之外,专家还警告称,Capital One可能会因此受到更多关注。
当地时间7月30日,数据泄露的消息已导致Capital One股价下跌5.9%至91.21美元。
而在一系列备受瞩目的安全事件发生后,一些公司也开始担心将数据向云端迁移的风险。
目前,亚马逊网络服务(AWS)是全球最大的公共云服务提供商,也是亚马逊旗下最赚钱的一个部门。
值得注意的是,此次案件披露的时间正值亚马逊的关键时刻。因为目前亚马逊正在招徕银行、医疗保健等受到高度监管的行业企业,将敏感信息从“本地物理数据中心”(On-premise physical data centres)转移到亚马逊云端。亚马逊还承诺,这将会帮助企业降低成本、提高生产力。
而Capital One首席执行官Richard Fairbank一直是转向云服务的坚定倡导者之一。
“Capital One和AWS一直是令人骄傲的公众合作伙伴,也是云服务的成功案例。但这种违规行为提醒我们,阅读合同中的细则,并注重技术配置的细节是至关重要的。”乔治亚理工学院信息安全与隐私协会联合主任Michael Farrell说。
美国法律服务业企业Epiq公司数据合规总监陈立成也告诉《国际金融报》记者,“此案发生的主要原因,还是数据安全措施的漏洞和云服务平台本身的缺陷。对于银行来说,全面引入‘公有云’是不现实的,本地数据中心只是其中一个考虑因素,最重要的问题还是,一旦有安全或隐私问题要如何面临监管,以及由谁来承担、承担怎样责任的问题。”
记者 赵璐
? 打开APP阅读全文