中評社香港7月31日電/據法新社、路透社及英國《每日郵報》報道:美國大型信用卡發卡銀行第一資本銀行(Capital One)29日發表聲明指,公司數據庫早些時候遭黑客攻擊,約1.06億用戶的個人資料外洩,其中包括姓名、地址、身份證號碼等。當局已拘捕一名涉案的前亞馬遜網絡工程師。這是美國歷史上最大規模的銀行數據洩露事件,估計善後工作將花費1至1.5億美元(約7.8至11.7億港元)。
第一資本銀行是美國第五大信用卡簽發方,根據該公司聲明,今年3月12日至7月17日,公司數據庫遭黑客入侵並被盜走2015年至2019年初的用戶數據,其中包括約14萬個相當於身份證號碼的社會安全號碼(SSN),和約8萬個銀行帳戶號碼,一部分用戶的信用評分和手機號碼亦遭洩露,用戶的姓名、地址、電話號碼等註冊信息都存隱憂。總計受影響美國用戶近1億,加拿大則有600萬人。
善後料耗資11.7億
但第一資本銀行強調,信用卡帳戶號碼或密碼都未受威脅,超過99%社會安全號碼也未遭外洩,公司將為受影響用戶免費提供信用卡監測服務,並稱相信信息未被用於詐騙,但會繼續跟進調查。
第一資本表示,預估這起事件將為公司帶來1億至1.5億美元的損失,主要花費在通知客戶、信用監控以及法律援助等方面。
第一資本銀行7月19日才確認系統漏洞及資料被盜,遂立即修復漏洞並聯絡聯邦調查局(FBI)。FBI於29日搜查西雅圖一處住宅,檢獲內含盜取資料複製檔案的電子儲存設備,涉案女黑客佩奇.湯姆森(Paige Thompson)因此落網。
美國聯邦檢察官辦公室表示,現年33歲的湯姆森早前擔任亞馬遜網絡服務工程師,她利用第一資本銀行系統防火牆的漏洞,通過攻擊該銀行租借的雲計算服務器進入數據庫。
“給自己綁炸彈背心”
目前尚不清楚這名女黑客的作案動機。似乎是為了炫耀犯案成果,湯姆森6月18日還在社交媒體上和別的用戶“分享”盜竊經歷,稱希望找到雲端存儲這些數據,她亦形容“自己給自己綁了炸彈背心”,表現出對案件違法知情,甚至還有網友留言“拜託別被抓”。
不僅如此,3月至7月間,她曾在美國代碼存放網站和開源社區GitHub上放出竊取的數據。一名GitHub匿名用戶7月17日向第一資本舉報,這才揭發事件。
在上述舉報郵件中附帶了一個網絡鏈接,網頁地址(IP)中包含湯姆森的全名,執法人員便是根據這個地址追蹤到湯姆森的社交媒體並確認其身份的。
警方指出,由於湯姆森在網絡上曾列出其他公司、政府機構和教育機構的名稱,或許她還涉及其他黑客案件。
或涉其他案件 最高判監五年
湯姆森對於計算機系統可謂是瞭如指掌,她曾在西雅圖多家科企工作,並於2015年5月進入亞馬遜的雲端服務AWS,擔任系統工程師,一直到2016年9月離職。據彭博社報道,受害的第一資本銀行是少數不使用私有雲,而採用AWS公有雲的銀行,因此也引發AWS對本案件的關注。
AWS發言人指出,根據目前的調查內容,及疑犯供認,系統遭黑與AWS服務無關,而是因為第一資本的防火牆設定失誤。
湯姆森29日在西雅圖地區法院首次出庭,她被控電腦詐欺和濫用罪,若罪名成立,她將最高面臨5年監禁和25萬美元(約195萬港元)罰款。
(來源:大公報) |
