美國Capital One銀行個資外洩案遭罰8千萬美元

美國Capital One銀行去年7月遭駭客入侵雲端系統，遭駭客竊取上億用戶個資及企業資訊，本周遭主管機關處以8千萬美元民事罰金。

美國財政部轄下的貨幣監理官辦公室（Office of the Comptroller of the Currency，OCC）指出，之所以做出這項處分，是因Capital One在把重要資訊搬移到公有雲環境前未能建立有效的風險評估流程，並及時修補缺失。但所幸銀行迅速通知客戶及補救。

OCC指出，雖然它鼓勵所有銀行採取「負責任」的創新，但是健全的風險管理及內部控管才是確保銀行安全運作、提供客戶充份防護的關鍵，OCC認為Capital One的缺失造成了不安全的環境，也違反了《建立資訊安全標準跨部會指引》的法規。

去年3、4月Capital One員工Paige Thompson利用對公有雲AWS的了解，利用網路防火牆組態漏洞而駭入該銀行代管在AWS S3服務的客戶資料庫，超過1億名北美客戶資料遭存取，包括解密了部份資料。事後警方發現她也竊取了30多家企業、教育機構及其他實體組織的資料達數Terabyte。

不過Capital One仍然提供了加密及部分資料欄位變造（tokenized），像是社會安全碼與銀行帳號等，因而減少資料損失的幅度。Capital One銀行指出，該公司原有的安全措施協助警方更快逮捕到駭客，他們也進一步強化了網路防護及控管流程，以防止類似事件再發生。