本周一,一場被曝光的黑客攻擊讓億萬北美民眾惶惶不安。美國第七大銀行,同時也是第五大信用卡簽發方的第一資本銀行(Capital One)于周一(29日)發布聲明稱其數據庫遭黑客攻擊,約1.06億銀行卡用戶及申請人信息泄露——影響范圍包括美國約1億名用戶和加拿大約600萬用戶。
發言人表示,2005年至2019年期間申請過該行信用卡或抵押信用卡的個人及小型企業主,其用戶注冊信息遭竊取。另有約14萬個社會保障號碼和約8萬個銀行賬戶的消費評分、信用額度、賬戶余額、支付歷史和交易信息等遭外泄。
當天晚些時候,FBI逮捕了一名33歲的女軟件工程師,并以“計算機欺詐罪”對她發起指控。這場被美國媒體稱作“美國歷史上最大規模的銀行數據泄露事件”,就此火速告破,但它留下的一地雞毛,遠不止“第一資本銀行約1億至1.5億美元的年度額外成本開支”。
自我營銷?黑客入侵卻“死于話多”
先來認識一下這次事件的始作俑者——33歲的IT工程師,佩琪·湯姆森(Paige Thompson)。
就像攻擊爆出后,更多美國吃瓜群眾最關心的問題是:黑客是誰?一下子盜取多達1.06億的用戶信息,是有多厲害?
頂尖黑客用時30秒即破解美國最大銀行系統,當然只是《劍魚行動》這類電影才能開的金手指。不過,在全球著名黑客排行榜上,確實有這么一號把銀行數據庫當自家花園逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目標不乏花旗銀行、美國銀行在內的大金融機構,但他的興趣在于發現安全漏洞,并且通常還會告知企業相關的漏洞。
相比而言,導致本次大規模信息泄露的“元兇”,就有幾分“監守自盜”的嫌疑。
事實上,2015年5月至2016年9月間,佩琪曾在與第一資本銀行合作的云托管公司——亞馬遜簡單云存儲服務(Amazon S3)公司擔任系統工程師。這次她就是利用Web漏洞掃描工具,獲得S3服務器的部分訪問權,并提取了第一資本銀行相關的文件。
黑客佩琪·湯普森 圖據福克斯新聞
佩琪“摸進”了美國第七大銀行的信息庫,不想卻“死于話多”。據FBI介紹,今年3月,一個網名erratic的用戶在“美國版釘釘”Slack上“炫耀”,稱自己通過入侵獲取了第一資本銀行的用戶信息文件。7月17日,在美國代碼存放網站和開源社區GitHub上,同一網名用戶發布了相關信息鏈接。看到這篇帖子的網友第一時間截圖警告了第一資本銀行,銀行方隨即報案。可以說,在此前的一周多時間里,FBI通過暗地里調查,牢牢固定佩琪就是網絡用戶“erratic”的證據鏈。
FBI特工Joel Martini表示,佩琪甚至沒有什么刻意掩蓋行蹤的舉動。戳開GitHub的用戶信息頁,她的真實姓名——甚至包括middle name——都大搖大擺地橫在那里,更別提她的推特昵稱,直接就是“erratic”。正因為如此,FBI網絡工作小組早早就鎖定了佩琪,并很快發現她在一條推特私信中寫道,“想把黑來的用戶姓名、社會安全號碼公布出去”。
佩琪被逮捕后,FBI在她位于西雅圖的住所,搜出了內含盜取信息復制檔案的電子儲存設備。有推特網友吐槽:“還以為會是另一個Kevin Mitnick(世界頭號黑客),沒想到是個努力吸睛的孤獨癥患者。”盡管自稱有“社交障礙”,但佩琪·湯姆森在互聯網上很有表達欲。她說自己是自學成才,讀了一年貝爾維尤社區學院就輟學,因為沒有學歷所以不得不頻繁更換工作,希望自己有朝一日能重回校園……甚至于,她自稱通過手術成為女人。
黑客佩琪·湯普森 圖據紐約時報
8萬用戶的信用可能瞬間歸零
據悉,這起訴訟將于當地時間8月1日舉行聽證會,若罪名成立,佩琪將面臨5年的刑期及25萬美元的罰金。
但對于第一資本銀行來說,事件離塵埃落定還相當遙遠。
盡管第一資本堅稱得知消息后“立即修復”了系統漏洞,且“泄露的信息不太可能被用于欺詐或傳播”,但據路透社報道,昨日,康涅狄州一名男子已向華盛頓州聯邦法院提起“違約”訴訟,并尋求代表第一資本銀行用戶取得集體訴訟地位。
目前,第一資本銀行正在努力“滅火”,以消除其中約8萬個銀行賬戶信息泄露導致的風險,因為這些賬戶均屬于擔保信用卡(Secured Credit Card)——即在消費前,存入部分或全部信用額度的現金。
在美國,申請擔保信用卡的通常是個人信用評分(FICO)較低,或者根本沒有信用歷史。信用卡專家Beverly Harzog介紹道,許多擔保信用卡用戶剛剛從個人危機中掙扎脫身——大病急病、離婚或者驟然失業,“他們非常努力地想改善自己的財務狀況”。而沒有信用卡的留學生、新移民,或者是剛成年的年輕人,則要以此為起點開始嶄新的人生。當然,還有那些曾因沖動消費而毀掉自己信用評分的人,這張卡是他們回歸生活正軌的“入場券”。
而這也意味著,如果此次泄露的數據被用于非法用途,那么這8萬用戶中絕大部分人辛苦積攢的信用,將被瞬間歸零。“相比而言,預存現金被盜用都不算什么,因為大多數銀行會在10天內恢復受害者賬戶內的盜用金額。雖然對于資金鏈嚴重緊張的人來說,十天的‘斷糧’很可能釀成新的危機。”
社保號碼被泄牽出美國人的“靈魂拷問”
此外,按第一資本銀行的說法,“超過99%的社會保障號碼未遭外泄”,比例雖然可喜,但落實到具體數字,就多達14萬。而這14萬用戶,面臨著身份遭盜用的風險。
CyberScout創始人Adam Levin表示,“只需要一個社會保障號碼和一些關鍵個人信息,犯罪分子就能造成重大損害。以受害者的名義,他們能支付醫療費用、開設新的信用卡賬戶、無需支付賬單,甚至利用受害人信息騙取二次抵押貸款。”
就此,很多美國人發出“靈魂拷問”:為什么社會保障號碼依然是我們唯一的身份憑據?
1936年,美國社會保障管理局引入社會保障號碼體系,用以追蹤工人的福利收入歷史。直到1972年,小卡片底部還寫著: “出于社會保障目的——而不是為了證明身份。”但一直以來,社會保障號碼是美國人可以識別個人身份的關鍵信息。
“不是每個人都有護照的,”云計算和安全公司Rapid7的首席數據科學家Bob Rudis說,“除了社會保障號碼,沒有別的官方途徑或者說政府認可的方式,能表明你實際上真的是你。”
Synopsys網絡安全研究中心首席安全策略師Tim Mackey認為,美國公民個人身份標識的替換已經迫在眉睫。在他看來,生物特征識別技術,如指紋、虹膜掃描和面部識別,是社會保障號碼的潛在替代品。但他也指出,“這項技術還不夠成熟,復制一個人的指紋并非是不可能的,問題的關鍵在于我們如何實施它。如果系統沒有很好的安全性設計,這些生物識別技術就是將數據白白送給心懷歹意的人。”
而Bob Rudis則認為,困局并非無解,一些國家選擇使用獨特的數字編碼符作為公民的身份證號碼,并引用電子識別系統,使數據的傳輸和使用更加安全,“一旦物理卡片丟失,可以立即掛失并停止使用,這比社會保障號碼科學合理得多,而我們沒有足夠的基礎設施投入,或者說意愿和動力去做這樣的改變。”
紅星新聞特約記者 李彬彬
關鍵詞:
責任編輯:Rex_01
