Capital One 客戶數(shù)據(jù)的大規(guī)模泄露已經(jīng)影響到 1 億多美國用戶及 600 萬加拿大用戶。

由于云錯(cuò)誤配置，黑客能夠能夠輕易地連接到信貸服務(wù)應(yīng)用，獲取用戶的社會(huì)安全號(hào)碼和銀行賬號(hào)，這是有史以來金融服務(wù)公司遭遇的最大數(shù)據(jù)泄露事件之一，在規(guī)模上與 2017 年的 Equifax 事件不相上下。

美國聯(lián)邦調(diào)查局已經(jīng)逮捕了此案的一名嫌疑人：亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 的前工程師佩吉·湯普森，此前她曾在 GitHub 上吹噓自己的數(shù)據(jù)被盜。

根據(jù)在華盛頓聯(lián)邦檢察官辦公室西區(qū)提交的一份刑事訴狀，該入侵發(fā)生在 3 月 19 日至 7 月 17 日之間，通過一個(gè)「配置錯(cuò)誤的 web 應(yīng)用程序防火墻」。

這些非法訪問的數(shù)據(jù)存儲(chǔ)在從 AWS 租用的云服務(wù)器上，主要與 2005 年至 2019 年初消費(fèi)者和企業(yè)的信用卡應(yīng)用程序有關(guān)。

這些信息包括大量的個(gè)人信息，如姓名、地址和出生日期；以及財(cái)務(wù)信息，包括自我報(bào)告的收入和信用評(píng)分。

Capital One 表示，沒有信用卡賬號(hào)或登錄憑證受到攻擊，只有大約 14 萬個(gè)社會(huì)安全號(hào)碼受到影響，這意味著「99% 以上的社會(huì)安全號(hào)碼」沒有受到影響。

在加拿大，大約有 100 萬個(gè)社會(huì)保險(xiǎn)號(hào)碼被泄露。

曝光的數(shù)據(jù)還包括 2016 年、2017 年和 2018 年 23 天的信用評(píng)分、信用額度、余額、支付歷史、聯(lián)系方式和交易數(shù)據(jù)片段。

Capital One 首席執(zhí)行官理查德·費(fèi)爾班克 (Richard Fairbank) 在一份聲明中表示:「我真誠地為這起事件引發(fā)的擔(dān)憂道歉，這種擔(dān)憂是可以理解的，我一定會(huì)糾正這種擔(dān)憂。

」該公司補(bǔ)充稱，它已修復(fù)了所謂的「配置漏洞」，而且「這些信息不太可能被用于欺詐或由此人傳播」——不過調(diào)查仍在進(jìn)行中。

該公司已承諾對(duì)受影響者進(jìn)行信用監(jiān)控，但反網(wǎng)絡(luò)釣魚公司 Lucy Security 的首席執(zhí)行官科林·巴斯塔布爾 (Copn Bastable) 表示，Capital Bank 等銀行及其員工應(yīng)在事件發(fā)生后采取更多行動(dòng)，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)釣魚攻擊。

巴斯塔布在一份電子郵件聲明中解釋說:「在長(zhǎng)達(dá) 12 個(gè)月的信用監(jiān)測(cè)結(jié)束后，Capital One 的受害者將在未來數(shù)年內(nèi)被『捕撈』。

」「黑色網(wǎng)絡(luò)對(duì)大多數(shù)北美人的了解可能比他們的政府公開承認(rèn)的要多。

雇主需要通過確保員工有安全意識(shí)來保護(hù)自己。

」嫌疑人湯普森在網(wǎng)絡(luò)對(duì)話中使用了「erratic」的化名，據(jù)稱他在 GitHub 和社交媒體上多次發(fā)布了有關(guān)盜竊的信息。

一個(gè)用戶名為「erratic」的推特賬號(hào)上的帖子寫道:「我基本上是把自己綁在炸彈背心上，F(xiàn)*cking 該死的 CapitalOne，兵承認(rèn)是自己做的。

」Capital One 遭黑客入侵的消息傳出之前，美國信用監(jiān)測(cè)機(jī)構(gòu) Equifax 上周同意支付至多 7 億美元，以解決 2017 年發(fā)生在該公司的一起類似事件。

那次事件影響了近 1.5 億客戶。

亞馬遜方面則指出，法庭文件和 Capital One 的聲明承認(rèn)存在配置錯(cuò)誤。

該公司發(fā)言人對(duì)彭博社 (Bloomberg) 表示，Capital One 的數(shù)據(jù)不是通過 AWS 系統(tǒng)的漏洞訪問的。

「Capital One 的入侵證明，企業(yè)在有效部署安全技術(shù)方面還有很多需要學(xué)習(xí)的地方，」Immersive Labs 首席執(zhí)行官詹姆斯·哈德利 (James Hadley) 通過電子郵件表示。

從他們對(duì)這次入侵的描述來看，你會(huì)認(rèn)為這是一個(gè)利用漏洞的精英黑客，這是情有可原的。

事實(shí)上，正如聯(lián)邦調(diào)查局所說，只是一個(gè)配置不良的防火墻允許黑客進(jìn)入。

」Darktrace 網(wǎng)絡(luò)情報(bào)總監(jiān)賈斯汀·菲爾 (Justin Fier) 也同意了巴斯塔布的警告，他表示，抓捕行兇者——如果她被證明有罪——并不能保證數(shù)據(jù)尚未進(jìn)入黑暗網(wǎng)絡(luò)。

「在新的數(shù)字時(shí)代，數(shù)據(jù)就是貨幣，一旦落入不法之徒之手，它就會(huì)像野火一樣在犯罪團(tuán)伙中蔓延，」費(fèi)伊爾補(bǔ)充說。