最近,一场被曝光的黑客攻击让亿万北美民众惶惶不安。美国第七大银行,同时也是第五大信用卡签发方的第一资本银行(Capital One)于周一(29日)发布声明称其数据库遭黑客攻击,约1.06亿银行卡用户及申请人信息泄露——影响范围包括美国约1亿名用户和加拿大约600万用户。
发言人表示,2005年至2019年期间申请过该行信用卡或抵押信用卡的个人及小型企业主,其用户注册信息遭窃取。另有约14万个社会保障号码和约8万个银行账户的消费评分、信用额度、账户余额、支付历史和交易信息等遭外泄。
当天晚些时候,FBI逮捕了一名33岁的女软件工程师,并以“计算机欺诈罪”对她发起指控。这场被美国媒体称作“美国历史上最大规模的银行数据泄露事件”,就此火速告破,但它留下的一地鸡毛,远不止“第一资本银行约1亿至1.5亿美元的年度额外成本开支”。
自我营销?黑客入侵却“死于话多”
先来认识一下这次事件的始作俑者——33岁的IT工程师,佩琪·汤姆森(Paige Thompson)。
就像攻击爆出后,更多美国吃瓜群众最关心的问题是:黑客是谁?一下子盗取多达1.06亿的用户信息,是有多厉害?
顶尖黑客用时30秒即破解美国最大银行系统,当然只是《剑鱼行动》这类电影才能开的金手指。不过,在全球著名黑客排行榜上,确实有这么一号把银行数据库当自家花园逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目标不乏花旗银行、美国银行在内的大金融机构,但他的兴趣在于发现安全漏洞,并且通常还会告知企业相关的漏洞。
相比而言,导致本次大规模信息泄露的“元凶”,就有几分“监守自盗”的嫌疑。
事实上,2015年5月至2016年9月间,佩琪曾在与第一资本银行合作的云托管公司——亚马逊简单云存储服务(Amazon S3)公司担任系统工程师。这次她就是利用Web漏洞扫描工具,获得S3服务器的部分访问权,并提取了第一资本银行相关的文件。
佩琪“摸进”了美国第七大银行的信息库,不想却“死于话多”。据FBI介绍,今年3月,一个网名erratic的用户在“美国版钉钉”Slack上“炫耀”,称自己通过入侵获取了第一资本银行的用户信息文件。7月17日,在美国代码存放网站和开源社区GitHub上,同一网名用户发布了相关信息链接。看到这篇帖子的网友第一时间截图警告了第一资本银行,银行方随即报案。可以说,在此前的一周多时间里,FBI通过暗地里调查,牢牢固定佩琪就是网络用户“erratic”的证据链。
FBI特工Joel Martini表示,佩琪甚至没有什么刻意掩盖行踪的举动。戳开GitHub的用户信息页,她的真实姓名——甚至包括middle name——都大摇大摆地横在那里,更别提她的推特昵称,直接就是“erratic”。正因为如此,FBI网络工作小组早早就锁定了佩琪,并很快发现她在一条推特私信中写道,“想把黑来的用户姓名、社会安全号码公布出去”。
佩琪被逮捕后,FBI在她位于西雅图的住所,搜出了内含盗取信息复制档案的电子储存设备。有推特网友吐槽:“还以为会是另一个Kevin Mitnick(世界头号黑客),没想到是个努力吸睛的孤独症患者。”尽管自称有“社交障碍”,但佩琪·汤姆森在互联网上很有表达欲。她说自己是自学成才,读了一年贝尔维尤社区学院就辍学,因为没有学历所以不得不频繁更换工作,希望自己有朝一日能重回校园……甚至于,她自称通过手术成为女人。
8万用户的信用可能瞬间归零
据悉,这起诉讼将于当地时间8月1日举行听证会,若罪名成立,佩琪将面临5年的刑期及25万美元的罚金。
就此,很多美国人发出“灵魂拷问”:为什么社会保障号码依然是我们唯一的身份凭据?
现在是信息化时代,网络越来越复杂,人们的信息也都实现了联网,但是因此带来的隐私和信息安全问题,开始引起人们的恐慌,不知道自己的信息是不是也被一些不法分子所窃取,除了自己本身提高自己的信息安全意识以外,我们也呼吁政府要从严监管,加大打击力度。同时也能看到,信息安全中也蕴含着很多的商机,网络越发达,信息安全的重要性就越强,好与坏,利与弊有时就是共生关系,所以值得人们重视,以后也会成为一条重要的产业链。
长子农商银行召开2019年8月份业务经营分析
去年全年的GDP总量达到了8427亿元 增速也是