首頁 >國際 >

美國1億銀行用戶信息遭泄露 8萬用戶的信用可能瞬間歸零

本周一,一場被曝光的黑客攻擊讓億萬北美民眾惶惶不安。美國第七大銀行,同時(shí)也是第五大信用卡簽發(fā)方的第一資本銀行(Capital One)于周一(29日)發(fā)布聲明稱其數(shù)據(jù)庫遭黑客攻擊,約1.06億銀行卡用戶及申請人信息泄露——影響范圍包括美國約1億名用戶和加拿大約600萬用戶。

發(fā)言人表示,2005年至2019年期間申請過該行信用卡或抵押信用卡的個(gè)人及小型企業(yè)主,其用戶注冊信息遭竊取。另有約14萬個(gè)社會保障號碼和約8萬個(gè)銀行賬戶的消費(fèi)評分、信用額度、賬戶余額、支付歷史和交易信息等遭外泄。

當(dāng)天晚些時(shí)候,F(xiàn)BI逮捕了一名33歲的女軟件工程師,并以“計(jì)算機(jī)欺詐罪”對她發(fā)起指控。這場被美國媒體稱作“美國歷史上最大規(guī)模的銀行數(shù)據(jù)泄露事件”,就此火速告破,但它留下的一地雞毛,遠(yuǎn)不止“第一資本銀行約1億至1.5億美元的年度額外成本開支”。

自我營銷?黑客入侵卻“死于話多”

先來認(rèn)識一下這次事件的始作俑者——33歲的IT工程師,佩琪·湯姆森(Paige Thompson)。

就像攻擊爆出后,更多美國吃瓜群眾最關(guān)心的問題是:黑客是誰?一下子盜取多達(dá)1.06億的用戶信息,是有多厲害?

頂尖黑客用時(shí)30秒即破解美國最大銀行系統(tǒng),當(dāng)然只是《劍魚行動》這類電影才能開的金手指。不過,在全球著名黑客排行榜上,確實(shí)有這么一號把銀行數(shù)據(jù)庫當(dāng)自家花園逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目標(biāo)不乏花旗銀行、美國銀行在內(nèi)的大金融機(jī)構(gòu),但他的興趣在于發(fā)現(xiàn)安全漏洞,并且通常還會告知企業(yè)相關(guān)的漏洞。

相比而言,導(dǎo)致本次大規(guī)模信息泄露的“元兇”,就有幾分“監(jiān)守自盜”的嫌疑。

事實(shí)上,2015年5月至2016年9月間,佩琪曾在與第一資本銀行合作的云托管公司——亞馬遜簡單云存儲服務(wù)(Amazon S3)公司擔(dān)任系統(tǒng)工程師。這次她就是利用Web漏洞掃描工具,獲得S3服務(wù)器的部分訪問權(quán),并提取了第一資本銀行相關(guān)的文件。

黑客佩琪·湯普森 圖據(jù)??怂剐侣?/p>

佩琪“摸進(jìn)”了美國第七大銀行的信息庫,不想?yún)s“死于話多”。據(jù)FBI介紹,今年3月,一個(gè)網(wǎng)名erratic的用戶在“美國版釘釘”Slack上“炫耀”,稱自己通過入侵獲取了第一資本銀行的用戶信息文件。7月17日,在美國代碼存放網(wǎng)站和開源社區(qū)GitHub上,同一網(wǎng)名用戶發(fā)布了相關(guān)信息鏈接??吹竭@篇帖子的網(wǎng)友第一時(shí)間截圖警告了第一資本銀行,銀行方隨即報(bào)案。可以說,在此前的一周多時(shí)間里,F(xiàn)BI通過暗地里調(diào)查,牢牢固定佩琪就是網(wǎng)絡(luò)用戶“erratic”的證據(jù)鏈。

FBI特工Joel Martini表示,佩琪甚至沒有什么刻意掩蓋行蹤的舉動。戳開GitHub的用戶信息頁,她的真實(shí)姓名——甚至包括middle name——都大搖大擺地橫在那里,更別提她的推特昵稱,直接就是“erratic”。正因?yàn)槿绱耍現(xiàn)BI網(wǎng)絡(luò)工作小組早早就鎖定了佩琪,并很快發(fā)現(xiàn)她在一條推特私信中寫道,“想把黑來的用戶姓名、社會安全號碼公布出去”。

佩琪被逮捕后,F(xiàn)BI在她位于西雅圖的住所,搜出了內(nèi)含盜取信息復(fù)制檔案的電子儲存設(shè)備。有推特網(wǎng)友吐槽:“還以為會是另一個(gè)Kevin Mitnick(世界頭號黑客),沒想到是個(gè)努力吸睛的孤獨(dú)癥患者。”盡管自稱有“社交障礙”,但佩琪·湯姆森在互聯(lián)網(wǎng)上很有表達(dá)欲。她說自己是自學(xué)成才,讀了一年貝爾維尤社區(qū)學(xué)院就輟學(xué),因?yàn)闆]有學(xué)歷所以不得不頻繁更換工作,希望自己有朝一日能重回校園……甚至于,她自稱通過手術(shù)成為女人。

黑客佩琪·湯普森 圖據(jù)紐約時(shí)報(bào)

8萬用戶的信用可能瞬間歸零

據(jù)悉,這起訴訟將于當(dāng)?shù)貢r(shí)間8月1日舉行聽證會,若罪名成立,佩琪將面臨5年的刑期及25萬美元的罰金。

但對于第一資本銀行來說,事件離塵埃落定還相當(dāng)遙遠(yuǎn)。

盡管第一資本堅(jiān)稱得知消息后“立即修復(fù)”了系統(tǒng)漏洞,且“泄露的信息不太可能被用于欺詐或傳播”,但據(jù)路透社報(bào)道,昨日,康涅狄州一名男子已向華盛頓州聯(lián)邦法院提起“違約”訴訟,并尋求代表第一資本銀行用戶取得集體訴訟地位。

目前,第一資本銀行正在努力“滅火”,以消除其中約8萬個(gè)銀行賬戶信息泄露導(dǎo)致的風(fēng)險(xiǎn),因?yàn)檫@些賬戶均屬于擔(dān)保信用卡(Secured Credit Card)——即在消費(fèi)前,存入部分或全部信用額度的現(xiàn)金。

在美國,申請擔(dān)保信用卡的通常是個(gè)人信用評分(FICO)較低,或者根本沒有信用歷史。信用卡專家Beverly Harzog介紹道,許多擔(dān)保信用卡用戶剛剛從個(gè)人危機(jī)中掙扎脫身——大病急病、離婚或者驟然失業(yè),“他們非常努力地想改善自己的財(cái)務(wù)狀況”。而沒有信用卡的留學(xué)生、新移民,或者是剛成年的年輕人,則要以此為起點(diǎn)開始嶄新的人生。當(dāng)然,還有那些曾因沖動消費(fèi)而毀掉自己信用評分的人,這張卡是他們回歸生活正軌的“入場券”。

而這也意味著,如果此次泄露的數(shù)據(jù)被用于非法用途,那么這8萬用戶中絕大部分人辛苦積攢的信用,將被瞬間歸零。“相比而言,預(yù)存現(xiàn)金被盜用都不算什么,因?yàn)榇蠖鄶?shù)銀行會在10天內(nèi)恢復(fù)受害者賬戶內(nèi)的盜用金額。雖然對于資金鏈嚴(yán)重緊張的人來說,十天的‘斷糧’很可能釀成新的危機(jī)。”

社保號碼被泄?fàn)砍雒绹说?ldquo;靈魂拷問”

此外,按第一資本銀行的說法,“超過99%的社會保障號碼未遭外泄”,比例雖然可喜,但落實(shí)到具體數(shù)字,就多達(dá)14萬。而這14萬用戶,面臨著身份遭盜用的風(fēng)險(xiǎn)。

CyberScout創(chuàng)始人Adam Levin表示,“只需要一個(gè)社會保障號碼和一些關(guān)鍵個(gè)人信息,犯罪分子就能造成重大損害。以受害者的名義,他們能支付醫(yī)療費(fèi)用、開設(shè)新的信用卡賬戶、無需支付賬單,甚至利用受害人信息騙取二次抵押貸款。”

就此,很多美國人發(fā)出“靈魂拷問”:為什么社會保障號碼依然是我們唯一的身份憑據(jù)?

1936年,美國社會保障管理局引入社會保障號碼體系,用以追蹤工人的福利收入歷史。直到1972年,小卡片底部還寫著: “出于社會保障目的——而不是為了證明身份。”但一直以來,社會保障號碼是美國人可以識別個(gè)人身份的關(guān)鍵信息。

“不是每個(gè)人都有護(hù)照的,”云計(jì)算和安全公司Rapid7的首席數(shù)據(jù)科學(xué)家Bob Rudis說,“除了社會保障號碼,沒有別的官方途徑或者說政府認(rèn)可的方式,能表明你實(shí)際上真的是你。”

Synopsys網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey認(rèn)為,美國公民個(gè)人身份標(biāo)識的替換已經(jīng)迫在眉睫。在他看來,生物特征識別技術(shù),如指紋、虹膜掃描和面部識別,是社會保障號碼的潛在替代品。但他也指出,“這項(xiàng)技術(shù)還不夠成熟,復(fù)制一個(gè)人的指紋并非是不可能的,問題的關(guān)鍵在于我們?nèi)绾螌?shí)施它。如果系統(tǒng)沒有很好的安全性設(shè)計(jì),這些生物識別技術(shù)就是將數(shù)據(jù)白白送給心懷歹意的人。”

而Bob Rudis則認(rèn)為,困局并非無解,一些國家選擇使用獨(dú)特的數(shù)字編碼符作為公民的身份證號碼,并引用電子識別系統(tǒng),使數(shù)據(jù)的傳輸和使用更加安全,“一旦物理卡片丟失,可以立即掛失并停止使用,這比社會保障號碼科學(xué)合理得多,而我們沒有足夠的基礎(chǔ)設(shè)施投入,或者說意愿和動力去做這樣的改變。”

紅星新聞特約記者 李彬彬

關(guān)鍵詞:

責(zé)任編輯:Rex_01

推薦閱讀