1亿多银行用户信息遭泄露,始作俑者“死于话多”
编辑: 2019-08-02 10:43:08 国际 17美国第七大商业银行“第一资本”当地时间29日宣布,大约一亿美国人和600万加拿大人的个银行人信息意外泄露。发言人表示,2005年至2019年期间申请过该行信用卡或抵押信用卡的个人及小型企业主,其用户注册信息遭窃取。另有约14万个社会保障号码和约8万个银行账户的消费评分、信用额度、账户余额、支付历史和交易信息等遭外泄。33岁的女性嫌疑人佩奇·汤普森当天早些时候被捕,随后受到“计算机欺诈和滥用”罪名指控。汤普森曾吹嘘自己“黑”入第一资本的经历,因而被联邦调查局(FBI)盯上。
本月17日,一名“源码托管服务公司”的用户看到有人通过网站发布“第一资本”银行客户的个人信息,随后提醒银行可能遭到了黑客入侵。
29日,“第一资本”发表声明,证实在19日发现系统基础架构的“配置漏洞”,导致大约一亿美国用户的信息在今年3月12日到7月17日期间被黑客窃取——其中大部分失窃数据是个人和小企业用户从2005年到今年初申请信用卡时所提供的信息,包括:姓名、地址、电话号码、出生日期,以及个人收入等。
“第一资本”强调说,黑客并没有获得用户的信用卡账号和登录密码,但有大约14万美国人的社会安全号码以及与之关联的八万个银行储蓄卡账号被盗;另外还有大约100万加拿大人的社会保险号外泄。
“第一资本”董事长兼首席执行官费尔班克29日发表声明,对个人信息遭窃取的用户表示道歉,并承诺将“纠正错误”。
经营成本或增加一亿至1.5亿美元
“第一资本”的总部位于美国弗吉尼亚州,目前的资产估值为3736亿美元——此次数据外泄可能让这家银行今年的经营成本增加一亿至1.5亿美元,用于赔偿受影响的用户。
有业内专家指出,近些年来,美国金融机构用户个人信息泄露事件频繁发生,早就不是什么新鲜事了。
女黑客“死于话多”
2015年5月至2016年9月间,佩琪曾在与第一资本银行合作的云托管公司——亚马逊简单云存储服务(Amazon S3)公司担任系统工程师。这次她就是利用Web漏洞扫描工具,获得S3服务器的部分访问权,并提取了第一资本银行相关的文件。
佩琪“摸进”了美国第七大银行的信息库,不想却“死于话多”。据FBI介绍,今年3月,一个网名erratic的用户在“美国版钉钉”Slack上“炫耀”,称自己通过入侵获取了第一资本银行的用户信息文件。7月17日,在美国代码存放网站和开源社区GitHub上,同一网名用户发布了相关信息链接。看到这篇帖子的网友第一时间截图警告了第一资本银行,银行方随即报案。可以说,在此前的一周多时间里,FBI通过暗地里调查,牢牢固定佩琪就是网络用户“erratic”的证据链。
FBI特工Joel Martini表示,佩琪甚至没有什么刻意掩盖行踪的举动。戳开GitHub的用户信息页,她的真实姓名——甚至包括middle name——都大摇大摆地横在那里,更别提她的推特昵称,直接就是“erratic”。正因为如此,FBI网络工作小组早早就锁定了佩琪,并很快发现她在一条推特私信中写道,“想把黑来的用户姓名、社会安全号码公布出去”。
佩琪被逮捕后,FBI在她位于西雅图的住所,搜出了内含盗取信息复制档案的电子储存设备。有推特网友吐槽:“还以为会是另一个Kevin Mitnick(世界头号黑客),没想到是个努力吸睛的孤独症患者。”尽管自称有“社交障碍”,但佩琪·汤姆森在互联网上很有表达欲。她说自己是自学成才,读了一年贝尔维尤社区学院就辍学,因为没有学历所以不得不频繁更换工作,希望自己有朝一日能重回校园……甚至于,她自称通过手术成为女人。