當地時間7月29日,美國三大信用卡公司之一Capital One(美國第一資本金融公司)表示,約有1億美國信用卡客戶和600萬加拿大信用卡持有人、申請人的個人信息被黑客盜取,其中涉及110萬個加拿大社會保險和美國社保账號,以及8萬個關聯銀行账號。
這是有史以來涉及金融服務公司的最大數據盜竊案之一。
當地時間7月30日,紐約州總檢察長萊蒂婭·詹姆士(Letitia James)宣布,將立即對此案展開調查,並竭力為受影響的紐約市民提供幫助。
亞馬遜前員工作案
Capital One是全美首屈一指的綜合性金融機構,在信用卡、汽車貸款、家庭貸款、儲蓄、個人信貸、保險等各方面業務都非常出色。
此次案件的發生,主要歸因於該公司防火牆權限的設置問題。
Capital One是亞馬遜網絡服務(AWS)的雲計算服務客戶。一直以來,Capital One都通過自己的Web應用程序訪問雲端數據,但由於“防火牆配置錯誤”,讓亞馬遜前員工湯普森·佩奇(Thompson Paige)有機會“黑”進了Capital One的應用程序,非法訪問用戶數據。
圖片來源:湯普森·佩奇Twitter账戶
但奇怪的是,湯普森·佩奇在盜取用戶信息後,並沒有用於商業目的,而是上傳到了全球最大的代碼託管平台Github。
Capital One方面稱,“根據迄今為止的分析,我們認為該信息不太可能被用於欺詐或個人傳播。但我們將繼續調查。”
要知道,Github的企業伺服器及用戶上傳信息均需接受美國法律監管,佩奇的行為就相當於在警察眼皮底下作案,與“自投羅網”無異。
那麽,她這麽做的動機是什麽?
佩奇此前的推特账號信息顯示,其今年33歲,住在西雅圖,有一定的心理健康問題。她最大的困擾就是“很難交到朋友”。有分析稱,佩奇的作案動機類似於是在“報復社會”。
根據美國聯邦調查局(FBI)的證詞,佩奇在盜取數據後,還在社交媒體上用了一個叫“古怪的人”(Erratic)的網名,炫耀自己搞定了Capital One。
於是當局很快就通過這些線索,找到了佩奇,並將之逮捕。當地時間7月29日,佩奇在西雅圖出庭,並被指控計算機欺詐和濫用,其推特账號也被查封。
雲服務的風險
Capital One表示,此次事件將在2019年產生約1億至1.5億美元的增量成本,用於支付客戶通知、信息監控以及技術和法律費用。除此之外,專家還警告稱,Capital One可能會因此受到更多關注。
當地時間7月30日,數據洩露的消息已導致Capital One股價下跌5.9%至91.21美元。
而在一系列備受矚目的安全事件發生後,一些公司也開始擔心將數據向雲端遷移的風險。
目前,亞馬遜網絡服務(AWS)是全球最大的公共雲服務提供商,也是亞馬遜旗下最賺錢的一個部門。
值得注意的是,此次案件披露的時間正值亞馬遜的關鍵時刻。因為目前亞馬遜正在招徠銀行、醫療保健等受到高度監管的行業企業,將敏感信息從“本地物理數據中心”(On-premise physical data centres)轉移到亞馬遜雲端。亞馬遜還承諾,這將會幫助企業降低成本、提高生產力。
而Capital One首席執行官Richard Fairbank一直是轉向雲服務的堅定倡導者之一。
“Capital One和AWS一直是令人驕傲的公眾合作夥伴,也是雲服務的成功案例。但這種違規行為提醒我們,閱讀合約中的細則,並注重技術配置的細節是至關重要的。”喬治亞理工學院信息安全與隱私協會聯合主任Michael Farrell說。
美國法律服務業企業Epiq公司數據合規總監陳立成也告訴《國際金融報》記者,“此案發生的主要原因,還是數據安全措施的漏洞和雲服務平台本身的缺陷。對於銀行來說,全面引入‘公有雲’是不現實的,本地數據中心只是其中一個考慮因素,最重要的問題還是,一旦有安全或隱私問題要如何面臨監管,以及由誰來承擔、承擔怎樣責任的問題。”
記者 趙璐
香港九龍灣馬來街興發大廈15樓D室