美國1億銀行用戶信息遭洩露，引出民眾“靈魂拷問”

若罪名成立，黑客將面臨5年的刑期及25萬美元的罰金。 圖片來源Shutterstock

本周一，一場被曝光的黑客攻擊讓億萬北美民眾惶惶不安。美國第七大銀行，同時也是第五大信用卡簽發方的第一資本銀行（Capital One）於周一（29日）發布聲明稱其數據庫遭黑客攻擊，約1.06億銀行卡用戶及申請人信息洩露——影響範圍包括美國約1億名用戶和加拿大約600萬用戶。

發言人表示，2005年至2019年期間申請過該行信用卡或抵押信用卡的個人及小型企業主，其用戶注冊信息遭竊取。另有約14萬個社會保障號碼和約8萬個銀行账戶的消費評分、信用額度、账戶餘額、支付歷史和交易信息等遭外泄。

當天晚些時候，FBI逮捕了一名33歲的女軟體工程師，並以“計算機欺詐罪”對她發起指控。這場被美國媒體稱作“美國歷史上最大規模的銀行數據洩露事件”，就此火速告破，但它留下的一地雞毛，遠不止“第一資本銀行約1億至1.5億美元的年度額外成本開支”。

自我行銷？黑客入侵卻“死於話多”

先來認識一下這次事件的始作俑者——33歲的IT工程師，佩琪·湯姆森（Paige Thompson）。

就像攻擊爆出後，更多美國吃瓜群眾最關心的問題是：黑客是誰？一下子盜取多達1.06億的用戶信息，是有多厲害？

頂尖黑客用時30秒即破解美國最大銀行系統，當然只是《劍魚行動》這類電影才能開的金手指。不過，在全球著名黑客排行榜上，確實有這麽一號把銀行數據庫當自家花園逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目標不乏花旗銀行、美國銀行在內的大金融機構，但他的興趣在於發現安全漏洞，並且通常還會告知企業相關的漏洞。

相比而言，導致本次大規模信息洩露的“元凶”，就有幾分“監守自盜”的嫌疑。

事實上，2015年5月至2016年9月間，佩琪曾在與第一資本銀行合作的雲託管公司——亞馬遜簡單雲存儲服務（Amazon S3）公司擔任系統工程師。這次她就是利用Web漏洞掃描工具，獲得S3伺服器的部分訪問權，並提取了第一資本銀行相關的文件。

黑客佩琪·湯普森 圖據福克斯新聞

佩琪“摸進”了美國第七大銀行的信息庫，不想卻“死於話多”。據FBI介紹，今年3月，一個網名erratic的用戶在“美國版釘釘”Slack上“炫耀”，稱自己通過入侵獲取了第一資本銀行的用戶信息文件。7月17日，在美國代碼存放網站和開源社區GitHub上，同一網名用戶發布了相關信息鏈接。看到這篇帖子的網友第一時間截圖警告了第一資本銀行，銀行方隨即報案。可以說，在此前的一周多時間裡，FBI通過暗地裡調查，牢牢固定佩琪就是網絡用戶“erratic”的證據鏈。

FBI特工Joel Martini表示，佩琪甚至沒有什麽刻意掩蓋行蹤的舉動。戳開GitHub的用戶信息頁，她的真實姓名——甚至包括middle name——都大搖大擺地橫在那裡，更別提她的推特昵稱，直接就是“erratic”。正因為如此，FBI網絡工作小組早早就鎖定了佩琪，並很快發現她在一條推特私信中寫道，“想把黑來的用戶姓名、社會安全號碼公布出去”。

佩琪被逮捕後，FBI在她位於西雅圖的住所，搜出了內含盜取信息複製檔案的電子儲存設備。有推特網友吐槽：“還以為會是另一個Kevin Mitnick（世界頭號黑客），沒想到是個努力吸睛的孤獨症患者。”儘管自稱有“社交障礙”，但佩琪·湯姆森在互聯網上很有表達欲。她說自己是自學成才，讀了一年貝爾維尤社區學院就輟學，因為沒有學歷所以不得不頻繁更換工作，希望自己有朝一日能重回校園……甚至於，她自稱通過手術成為女人。

黑客佩琪·湯普森 圖據紐約時報

8萬用戶的信用可能瞬間歸零

據悉，這起訴訟將於當地時間8月1日舉行聽證會，若罪名成立，佩琪將面臨5年的刑期及25萬美元的罰金。

但對於第一資本銀行來說，事件離塵埃落定還相當遙遠。

儘管第一資本堅稱得知消息後“立即修複”了系統漏洞，且“洩露的信息不太可能被用於欺詐或傳播”，但據路透社報導，昨日，康涅狄州一名男子已向華盛頓州聯邦法院提起“違約”訴訟，並尋求代表第一資本銀行用戶取得集體訴訟地位。

目前，第一資本銀行正在努力“滅火”，以消除其中約8萬個銀行账戶信息洩露導致的風險，因為這些账戶均屬於擔保信用卡（Secured Credit Card）——即在消費前，存入部分或全部信用額度的現金。

在美國，申請擔保信用卡的通常是個人信用評分（FICO）較低，或者根本沒有信用歷史。信用卡專家Beverly Harzog介紹道，許多擔保信用卡用戶剛剛從個人危機中掙扎脫身——大病急病、離婚或者驟然失業，“他們非常努力地想改善自己的財務狀況”。而沒有信用卡的留學生、新移民，或者是剛成年的年輕人，則要以此為起點開始嶄新的人生。當然，還有那些曾因衝動消費而毀掉自己信用評分的人，這張卡是他們回歸生活正軌的“入場券”。

而這也意味著，如果此次洩露的數據被用於非法用途，那麽這8萬用戶中絕大部分人辛苦積攢的信用，將被瞬間歸零。“相比而言，預存現金被盜用都不算什麽，因為大多數銀行會在10天內恢復受害者账戶內的盜用金額。雖然對於資金鏈嚴重緊張的人來說，十天的‘斷糧’很可能釀成新的危機。”

社保號碼被泄牽出美國人的“靈魂拷問”

此外，按第一資本銀行的說法，“超過99%的社會保障號碼未遭外泄”，比例雖然可喜，但落實到具體數字，就多達14萬。而這14萬用戶，面臨著身份遭盜用的風險。

CyberScout創始人Adam Levin表示，“只需要一個社會保障號碼和一些關鍵個人信息，犯罪分子就能造成重大損害。以受害者的名義，他們能支付醫療費用、開設新的信用卡账戶、無需支付账單，甚至利用受害人信息騙取二次抵押貸款。”

就此，很多美國人發出“靈魂拷問”：為什麽社會保障號碼依然是我們唯一的身份憑據？

1936年，美國社會保障管理局引入社會保障號碼體系，用以追蹤工人的福利收入歷史。直到1972年，小卡片底部還寫著: “出於社會保障目的——而不是為了證明身份。”但一直以來，社會保障號碼是美國人可以識別個人身份的關鍵信息。

“不是每個人都有護照的，”雲計算和安全公司Rapid7的首席數據科學家Bob Rudis說，“除了社會保障號碼，沒有別的官方途徑或者說政府認可的方式，能表明你實際上真的是你。”

Synopsys網絡安全研究中心首席安全策略師Tim Mackey認為，美國公民個人身份標識的替換已經迫在眉睫。在他看來，生物特徵識別技術，如指紋、虹膜掃描和面部識別，是社會保障號碼的潛在替代品。但他也指出，“這項技術還不夠成熟，複製一個人的指紋並非是不可能的，問題的關鍵在於我們如何實施它。如果系統沒有很好的安全性設計，這些生物識別技術就是將數據白白送給心懷歹意的人。”

而Bob Rudis則認為，困局並非無解，一些國家選擇使用獨特的數字編碼符作為公民的身份證號碼，並引用電子識別系統，使數據的傳輸和使用更加安全，“一旦物理卡片丟失，可以立即掛失並停止使用，這比社會保障號碼科學合理得多，而我們沒有足夠的基礎設施投入，或者說意願和動力去做這樣的改變。”

紅星新聞特約記者 李彬彬

編輯 張尋