圖片來源: 

CallisonRTKL

美國Capital One銀行去年7月遭駭客入侵雲端系統,遭駭客竊取上億用戶個資及企業資訊,本周遭主管機關處以8千萬美元民事罰金。

美國財政部轄下的貨幣監理官辦公室(Office of the Comptroller of the Currency,OCC)指出,之所以做出這項處分,是因Capital One在把重要資訊搬移到公有雲環境前未能建立有效的風險評估流程,並及時修補缺失。但所幸銀行迅速通知客戶及補救。

OCC指出,雖然它鼓勵所有銀行採取「負責任」的創新,但是健全的風險管理及內部控管才是確保銀行安全運作、提供客戶充份防護的關鍵,OCC認為Capital One的缺失造成了不安全的環境,也違反了《建立資訊安全標準跨部會指引》的法規。

去年3、4月Capital One員工Paige Thompson利用對公有雲AWS的了解,利用網路防火牆組態漏洞而駭入該銀行代管在AWS S3服務的客戶資料庫,超過1億名北美客戶資料遭存取,包括解密了部份資料。事後警方發現她也竊取了30多家企業、教育機構及其他實體組織的資料達數Terabyte。

不過Capital One仍然提供了加密及部分資料欄位變造(tokenized),像是社會安全碼與銀行帳號等,因而減少資料損失的幅度。Capital One銀行指出,該公司原有的安全措施協助警方更快逮捕到駭客,他們也進一步強化了網路防護及控管流程,以防止類似事件再發生。


Advertisement

更多 iThome相關內容