美國「第一資本」銀行29日驚爆伺服器遭駭、大量用戶個資外洩,美國超過1億用戶、加拿大逾600萬客戶的個資都受到影響,據悉駭客盜取了包含姓名、地址、電話號碼與信用評分信息等信用卡申請資料。此案是史上最大規模的金融資安事件之一,估計讓該公司損失至少1億5000萬美元。一名33歲來自西雅圖的女駭客已經落網,她事後在網路上吹噓自己的「傑作」,因而被列為主嫌。
高調分享「傑作」,亞馬遜前工程師遭逮
根據西雅圖法院文件,33歲的女嫌湯普森(Paige Thompson)在推特(Twitter)、開源代碼平台「Github」及通訊平台「Slack」上面,透漏自己在3月12日至7月17日間竊取的「第一資本」(Capital One)用戶資料,更有網友為她祈禱「千萬別被抓」。不過湯普森的高調行徑早引起美國聯邦調查人員的注意,現已遭逮捕,被指控違反《電腦欺詐和濫用法》(Computer Fraud and Abuse Act,CFAA)。
湯普森先前是亞馬遜網路服務公司(AWS)的系統工程師,該公司為「第一資本」銀行遭竊的資料庫提供數據服務。湯普森毫不掩飾其駭客身分,會在社群網站「Meet up」上組織駭客同好會「西雅圖破解小子」(Seattle Warez Kiddies)。
美國聯邦調查局(FBI)注意到她在「Meet up」上的活躍度,並追蹤她在網路上的其他行為,最終發現她在推特等網路平台上自誇:「我基本上把自己用炸彈背心困住了,落下第一資本(的線索),並承認(我做的)。」
湯普森的發文帳號ID為「飄忽不定」(erratic),調查人員發現她在該帳號頁面上,曾上傳帶寵物看獸醫的收據,因而進一步確認其身分。湯普森甚至還在今年初,把她發現的「第一資本」資料庫防火牆漏洞貼至GitHub,引發網友關注,「第一資本」今年7月17日因此收到匿名信函,告知資料有外洩疑慮。
Hacker gained access to personal information from more than 100m Capital One credit applications, according to the bank on Monday. Paige A. Thompson, who also goes by the handle "erratic"was charged with a single count of computer fraud & abuse in U.S. District Court in Seattle. pic.twitter.com/1d75cm9CRe
— Tweet Latest News (@TweetLatestNews) July 30, 2019
銀行帳號、訊息個資……1億筆信用卡資料外洩
根據法庭文件敘述,湯普森駭入「第一資本」伺服器後,盜取14萬組美國社會安全號碼,100 萬組加拿大社會保險號碼,以及8萬組銀行帳號,還有大量用戶姓名、地址、信用評分、信用額度以及餘額等個人信息。
亞馬遜網路服務公司發言人則指出,他們與「第一資本」的合作包含提供雲端基礎設施,讓「第一資本」構建並完全控制應用軟體,因此遭駭的原因與AWS服務疏失無關,而是因為第一資本自己的防火牆設定失誤。
「第一資本」是美國最大的信用卡發行公司與銀行之一,名列《財星》(Fortune)雜誌500強企業,擁有上億信用卡與銀行存款客戶,因此掌握了大量消費者數據。