据法新社、路透社及英国《每日邮报》报道:美国大型信用卡发卡银行第一资本银行(Capital One)29日发表声明指,公司数据库早些时候遭黑客攻击,约1.06亿用户的个人资料外泄,其中包括姓名、地址、身份证号码等。当局已拘捕一名涉案的前亚马逊网络工程师。这是美国历史上最大规模的银行数据泄露事件,估计善后工作将花费1至1.5亿美元(约7.8至11.7亿港元)中国机械网okmao.com。
第一资本银行是美国第五大信用卡签发方,根据该公司声明,今年3月12日至7月17日,公司数据库遭黑客入侵并被盗走2015年至2019年初的用户数据,其中包括约14万个相当于身份证号码的社会安全号码(SSN),和约8万个银行帐户号码,一部分用户的信用评分和手机号码亦遭泄露,用户的姓名、地址、电话号码等注册信息都存隐忧。总计受影响美国用户近1亿,加拿大则有600万人。
善后料耗资11.7亿
但第一资本银行强调,信用卡帐户号码或密码都未受威胁,超过99%社会安全号码也未遭外泄,公司将为受影响用户免费提供信用卡监测服务,并称相信信息未被用于诈骗,但会继续跟进调查。
第一资本表示,预估这起事件将为公司带来1亿至1.5亿美元的损失,主要花费在通知客户、信用监控以及法律援助等方面。
第一资本银行7月19日才确认系统漏洞及资料被盗,遂立即修复漏洞并联络联邦调查局(FBI)。FBI于29日搜查西雅图一处住宅,检获内含盗取资料复制档案的电子储存设备,涉案女黑客佩奇.汤姆森(Paige Thompson)因此落网。
美国联邦检察官办公室表示,现年33岁的汤姆森早前担任亚马逊网络服务工程师,她利用第一资本银行系统防火墙的漏洞,通过攻击该银行租借的云计算服务器进入数据库。
「给自己绑炸弹背心」
目前尚不清楚这名女黑客的作案动机。似乎是为了炫耀犯案成果,汤姆森6月18日还在社交媒体上和别的用户「分享」盗窃经历,称希望找到云端存储这些数据,她亦形容「自己给自己绑了炸弹背心」,表现出对案件违法知情,甚至还有网友留言「拜托别被抓」。
不仅如此,3月至7月间,她曾在美国代码存放网站和开源社区GitHub上放出窃取的数据。一名GitHub匿名用户7月17日向第一资本举报,这才揭发事件。
在上述举报邮件中附带了一个网络链接,网页地址(IP)中包含汤姆森的全名,执法人员便是根据这个地址追踪到汤姆森的社交媒体并确认其身份的。
警方指出,由于汤姆森在网络上曾列出其他公司、政府机构和教育机构的名称,或许她还涉及其他黑客案件。
或涉其他案件最高判监五年
汤姆森对于计算机系统可谓是了如指掌,她曾在西雅图多家科企工作,并于2015年5月进入亚马逊的云端服务AWS,担任系统工程师,一直到2016年9月离职。据彭博社报道,受害的第一资本银行是少数不使用私有云,而采用AWS公有云的银行,因此也引发AWS对本案件的关注。
AWS发言人指出,根据目前的调查内容,及疑犯供认,系统遭黑与AWS服务无关,而是因为第一资本的防火墙设定失误。
汤姆森29日在西雅图地区法院首次出庭,她被控电脑诈欺和滥用罪,若罪名成立,她将最高面临5年监禁和25万美元(约195万港元)罚款。