Photo by Tdorante10 (CC BY-SA 4.0, https://commons.wikimedia.org/wiki/File:Queens_Bl_Junction_Bl_td_04_-_Capital_One_Bank.jpg)

美國銀行Capital One在7月29日證實該行遭到駭客入侵,有一未經授權的駭客利用基礎設施的配置漏洞,存取了逾1億名北美客戶的資料,同一天美國司法部也宣布已逮捕33歲的嫌犯Paige Thompson。

Thompson曾擔任西雅圖一家科技公司的軟體工程師,她在GitHub上宣稱自己從Capital One的伺服器上盜走了使用者資料,有一名看到該資料的GitHub用戶於7月17日向Capital One通報,Capital One在驗證該資料的真實性之後立即聯繫美國聯邦調查局(FBI),FBI便突襲了Thompson的住家,扣押儲存這些資料的裝置,並逮捕Thompson。

根據司法部與Capital One的說明,Thompson是在今年3月22日與3月23日,藉由配置錯誤的網路應用防火牆入侵了Capital One伺服器。

總部位於維吉尼亞州的Capital One為美國第十大銀行業者,主要提供存款、金融、汽車貸款與信用卡業務。此一意外影響了1億名美國使用者與600萬名加拿大使用者。

Capital One表示,駭客所盜走的資料大多數為消費者或小型企業自2005年到2019年的信用卡申請資料,包括姓名、地址、郵遞區號、電話號碼、電子郵件帳號、生日及收入等。另有14萬個美國民眾的社會安全碼與8萬個銀行帳號,以及100萬個加拿大民眾的社會安全碼受到波及。

此外,儘管加密為Capital One的資料處理標準程序,但此一意外的狀況特殊,允許未經授權的存取解密資料,不過除了加密之外,某些資料欄位還經過變造(tokenized),像是社會安全碼與銀行帳號等,此一部份的資料依然受到保護。

經由Capital One迄今的分析,該銀行相信Thompson尚未散布這些盜來的資料,也未將它們用於詐騙。Thompson被指控違反電腦詐欺與濫用法案,最高將面臨5年徒刑與25萬美元的罰款。

Capital One除了已經修補漏洞並通知受影響的使用者之外,估計該意外將招致1~1.5億美元的額外成本,包括通知客戶,提供信用監控,以及技術及法律上的成本。


Advertisement

更多 iThome相關內容