美國(guó)1億銀行用戶信息遭泄露 8萬(wàn)用戶的信用可能瞬間歸零

本周一，一場(chǎng)被曝光的黑客攻擊讓億萬(wàn)北美民眾惶惶不安。美國(guó)第七大銀行，同時(shí)也是第五大信用卡簽發(fā)方的第一資本銀行(Capital One)于周一(29日)發(fā)布聲明稱其數(shù)據(jù)庫(kù)遭黑客攻擊，約1.06億銀行卡用戶及申請(qǐng)人信息泄露——影響范圍包括美國(guó)約1億名用戶和加拿大約600萬(wàn)用戶。

發(fā)言人表示，2005年至2019年期間申請(qǐng)過(guò)該行信用卡或抵押信用卡的個(gè)人及小型企業(yè)主，其用戶注冊(cè)信息遭竊取。另有約14萬(wàn)個(gè)社會(huì)保障號(hào)碼和約8萬(wàn)個(gè)銀行賬戶的消費(fèi)評(píng)分、信用額度、賬戶余額、支付歷史和交易信息等遭外泄。

當(dāng)天晚些時(shí)候，F(xiàn)BI逮捕了一名33歲的女軟件工程師，并以“計(jì)算機(jī)欺詐罪”對(duì)她發(fā)起指控。這場(chǎng)被美國(guó)媒體稱作“美國(guó)歷史上最大規(guī)模的銀行數(shù)據(jù)泄露事件”，就此火速告破，但它留下的一地雞毛，遠(yuǎn)不止“第一資本銀行約1億至1.5億美元的年度額外成本開(kāi)支”。

自我營(yíng)銷?黑客入侵卻“死于話多”

先來(lái)認(rèn)識(shí)一下這次事件的始作俑者——33歲的IT工程師，佩琪·湯姆森(Paige Thompson)。

就像攻擊爆出后，更多美國(guó)吃瓜群眾最關(guān)心的問(wèn)題是：黑客是誰(shuí)?一下子盜取多達(dá)1.06億的用戶信息，是有多厲害?

頂尖黑客用時(shí)30秒即破解美國(guó)最大銀行系統(tǒng)，當(dāng)然只是《劍魚(yú)行動(dòng)》這類電影才能開(kāi)的金手指。不過(guò)，在全球著名黑客排行榜上，確實(shí)有這么一號(hào)把銀行數(shù)據(jù)庫(kù)當(dāng)自家花園逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目標(biāo)不乏花旗銀行、美國(guó)銀行在內(nèi)的大金融機(jī)構(gòu)，但他的興趣在于發(fā)現(xiàn)安全漏洞，并且通常還會(huì)告知企業(yè)相關(guān)的漏洞。

相比而言，導(dǎo)致本次大規(guī)模信息泄露的“元兇”，就有幾分“監(jiān)守自盜”的嫌疑。

事實(shí)上，2015年5月至2016年9月間，佩琪曾在與第一資本銀行合作的云托管公司——亞馬遜簡(jiǎn)單云存儲(chǔ)服務(wù)(Amazon S3)公司擔(dān)任系統(tǒng)工程師。這次她就是利用Web漏洞掃描工具，獲得S3服務(wù)器的部分訪問(wèn)權(quán)，并提取了第一資本銀行相關(guān)的文件。

黑客佩琪·湯普森 圖據(jù)?？怂剐侣?/p>

佩琪“摸進(jìn)”了美國(guó)第七大銀行的信息庫(kù)，不想?yún)s“死于話多”。據(jù)FBI介紹，今年3月，一個(gè)網(wǎng)名erratic的用戶在“美國(guó)版釘釘”Slack上“炫耀”，稱自己通過(guò)入侵獲取了第一資本銀行的用戶信息文件。7月17日，在美國(guó)代碼存放網(wǎng)站和開(kāi)源社區(qū)GitHub上，同一網(wǎng)名用戶發(fā)布了相關(guān)信息鏈接?？吹竭@篇帖子的網(wǎng)友第一時(shí)間截圖警告了第一資本銀行，銀行方隨即報(bào)案?？梢哉f(shuō)，在此前的一周多時(shí)間里，F(xiàn)BI通過(guò)暗地里調(diào)查，牢牢固定佩琪就是網(wǎng)絡(luò)用戶“erratic”的證據(jù)鏈。

FBI特工Joel Martini表示，佩琪甚至沒(méi)有什么刻意掩蓋行蹤的舉動(dòng)。戳開(kāi)GitHub的用戶信息頁(yè)，她的真實(shí)姓名——甚至包括middle name——都大搖大擺地橫在那里，更別提她的推特昵稱，直接就是“erratic”。正因?yàn)槿绱耍現(xiàn)BI網(wǎng)絡(luò)工作小組早早就鎖定了佩琪，并很快發(fā)現(xiàn)她在一條推特私信中寫道，“想把黑來(lái)的用戶姓名、社會(huì)安全號(hào)碼公布出去”。

佩琪被逮捕后，F(xiàn)BI在她位于西雅圖的住所，搜出了內(nèi)含盜取信息復(fù)制檔案的電子儲(chǔ)存設(shè)備。有推特網(wǎng)友吐槽：“還以為會(huì)是另一個(gè)Kevin Mitnick(世界頭號(hào)黑客)，沒(méi)想到是個(gè)努力吸睛的孤獨(dú)癥患者。”盡管自稱有“社交障礙”，但佩琪·湯姆森在互聯(lián)網(wǎng)上很有表達(dá)欲。她說(shuō)自己是自學(xué)成才，讀了一年貝爾維尤社區(qū)學(xué)院就輟學(xué)，因?yàn)闆](méi)有學(xué)歷所以不得不頻繁更換工作，希望自己有朝一日能重回校園……甚至于，她自稱通過(guò)手術(shù)成為女人。

黑客佩琪·湯普森 圖據(jù)紐約時(shí)報(bào)

8萬(wàn)用戶的信用可能瞬間歸零

據(jù)悉，這起訴訟將于當(dāng)?shù)貢r(shí)間8月1日舉行聽(tīng)證會(huì)，若罪名成立，佩琪將面臨5年的刑期及25萬(wàn)美元的罰金。

但對(duì)于第一資本銀行來(lái)說(shuō)，事件離塵埃落定還相當(dāng)遙遠(yuǎn)。

盡管第一資本堅(jiān)稱得知消息后“立即修復(fù)”了系統(tǒng)漏洞，且“泄露的信息不太可能被用于欺詐或傳播”，但據(jù)路透社報(bào)道，昨日，康涅狄州一名男子已向華盛頓州聯(lián)邦法院提起“違約”訴訟，并尋求代表第一資本銀行用戶取得集體訴訟地位。

目前，第一資本銀行正在努力“滅火”，以消除其中約8萬(wàn)個(gè)銀行賬戶信息泄露導(dǎo)致的風(fēng)險(xiǎn)，因?yàn)檫@些賬戶均屬于擔(dān)保信用卡(Secured Credit Card)——即在消費(fèi)前，存入部分或全部信用額度的現(xiàn)金。

在美國(guó)，申請(qǐng)擔(dān)保信用卡的通常是個(gè)人信用評(píng)分(FICO)較低，或者根本沒(méi)有信用歷史。信用卡專家Beverly Harzog介紹道，許多擔(dān)保信用卡用戶剛剛從個(gè)人危機(jī)中掙扎脫身——大病急病、離婚或者驟然失業(yè)，“他們非常努力地想改善自己的財(cái)務(wù)狀況”。而沒(méi)有信用卡的留學(xué)生、新移民，或者是剛成年的年輕人，則要以此為起點(diǎn)開(kāi)始嶄新的人生。當(dāng)然，還有那些曾因沖動(dòng)消費(fèi)而毀掉自己信用評(píng)分的人，這張卡是他們回歸生活正軌的“入場(chǎng)券”。

而這也意味著，如果此次泄露的數(shù)據(jù)被用于非法用途，那么這8萬(wàn)用戶中絕大部分人辛苦積攢的信用，將被瞬間歸零。“相比而言，預(yù)存現(xiàn)金被盜用都不算什么，因?yàn)榇蠖鄶?shù)銀行會(huì)在10天內(nèi)恢復(fù)受害者賬戶內(nèi)的盜用金額。雖然對(duì)于資金鏈嚴(yán)重緊張的人來(lái)說(shuō)，十天的‘斷糧’很可能釀成新的危機(jī)。”

社保號(hào)碼被泄?fàn)砍雒绹?guó)人的“靈魂拷問(wèn)”

此外，按第一資本銀行的說(shuō)法，“超過(guò)99%的社會(huì)保障號(hào)碼未遭外泄”，比例雖然可喜，但落實(shí)到具體數(shù)字，就多達(dá)14萬(wàn)。而這14萬(wàn)用戶，面臨著身份遭盜用的風(fēng)險(xiǎn)。

CyberScout創(chuàng)始人Adam Levin表示，“只需要一個(gè)社會(huì)保障號(hào)碼和一些關(guān)鍵個(gè)人信息，犯罪分子就能造成重大損害。以受害者的名義，他們能支付醫(yī)療費(fèi)用、開(kāi)設(shè)新的信用卡賬戶、無(wú)需支付賬單，甚至利用受害人信息騙取二次抵押貸款。”

就此，很多美國(guó)人發(fā)出“靈魂拷問(wèn)”：為什么社會(huì)保障號(hào)碼依然是我們唯一的身份憑據(jù)?

1936年，美國(guó)社會(huì)保障管理局引入社會(huì)保障號(hào)碼體系，用以追蹤工人的福利收入歷史。直到1972年，小卡片底部還寫著: “出于社會(huì)保障目的——而不是為了證明身份。”但一直以來(lái)，社會(huì)保障號(hào)碼是美國(guó)人可以識(shí)別個(gè)人身份的關(guān)鍵信息。

“不是每個(gè)人都有護(hù)照的，”云計(jì)算和安全公司Rapid7的首席數(shù)據(jù)科學(xué)家Bob Rudis說(shuō)，“除了社會(huì)保障號(hào)碼，沒(méi)有別的官方途徑或者說(shuō)政府認(rèn)可的方式，能表明你實(shí)際上真的是你。”

Synopsys網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey認(rèn)為，美國(guó)公民個(gè)人身份標(biāo)識(shí)的替換已經(jīng)迫在眉睫。在他看來(lái)，生物特征識(shí)別技術(shù)，如指紋、虹膜掃描和面部識(shí)別，是社會(huì)保障號(hào)碼的潛在替代品。但他也指出，“這項(xiàng)技術(shù)還不夠成熟，復(fù)制一個(gè)人的指紋并非是不可能的，問(wèn)題的關(guān)鍵在于我們?nèi)绾螌?shí)施它。如果系統(tǒng)沒(méi)有很好的安全性設(shè)計(jì)，這些生物識(shí)別技術(shù)就是將數(shù)據(jù)白白送給心懷歹意的人。”

而B(niǎo)ob Rudis則認(rèn)為，困局并非無(wú)解，一些國(guó)家選擇使用獨(dú)特的數(shù)字編碼符作為公民的身份證號(hào)碼，并引用電子識(shí)別系統(tǒng)，使數(shù)據(jù)的傳輸和使用更加安全，“一旦物理卡片丟失，可以立即掛失并停止使用，這比社會(huì)保障號(hào)碼科學(xué)合理得多，而我們沒(méi)有足夠的基礎(chǔ)設(shè)施投入，或者說(shuō)意愿和動(dòng)力去做這樣的改變。”

紅星新聞特約記者 李彬彬

關(guān)鍵詞：

責(zé)任編輯：Rex_01