美國1億銀行用戶信息遭泄露 8萬用戶的信用可能瞬間歸零

本周一，一場被曝光的黑客攻擊讓億萬北美民眾惶惶不安。美國第七大銀行，同時也是第五大信用卡簽發(fā)方的第一資本銀行(Capital One)于周一(29日)發(fā)布聲明稱其數(shù)據(jù)庫遭黑客攻擊，約1.06億銀行卡用戶及申請人信息泄露——影響范圍包括美國約1億名用戶和加拿大約600萬用戶。

發(fā)言人表示，2005年至2019年期間申請過該行信用卡或抵押信用卡的個人及小型企業(yè)主，其用戶注冊信息遭竊取。另有約14萬個社會保障號碼和約8萬個銀行賬戶的消費評分、信用額度、賬戶余額、支付歷史和交易信息等遭外泄。

當天晚些時候，F(xiàn)BI逮捕了一名33歲的女軟件工程師，并以“計算機欺詐罪”對她發(fā)起指控。這場被美國媒體稱作“美國歷史上最大規(guī)模的銀行數(shù)據(jù)泄露事件”，就此火速告破，但它留下的一地雞毛，遠不止“第一資本銀行約1億至1.5億美元的年度額外成本開支”。

自我營銷?黑客入侵卻“死于話多”

先來認識一下這次事件的始作俑者——33歲的IT工程師，佩琪·湯姆森(Paige Thompson)。

就像攻擊爆出后，更多美國吃瓜群眾最關(guān)心的問題是：黑客是誰?一下子盜取多達1.06億的用戶信息，是有多厲害?

頂尖黑客用時30秒即破解美國最大銀行系統(tǒng)，當然只是《劍魚行動》這類電影才能開的金手指。不過，在全球著名黑客排行榜上，確實有這么一號把銀行數(shù)據(jù)庫當自家花園逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目標不乏花旗銀行、美國銀行在內(nèi)的大金融機構(gòu)，但他的興趣在于發(fā)現(xiàn)安全漏洞，并且通常還會告知企業(yè)相關(guān)的漏洞。

相比而言，導致本次大規(guī)模信息泄露的“元兇”，就有幾分“監(jiān)守自盜”的嫌疑。

事實上，2015年5月至2016年9月間，佩琪曾在與第一資本銀行合作的云托管公司——亞馬遜簡單云存儲服務(Amazon S3)公司擔任系統(tǒng)工程師。這次她就是利用Web漏洞掃描工具，獲得S3服務器的部分訪問權(quán)，并提取了第一資本銀行相關(guān)的文件。

黑客佩琪·湯普森 圖據(jù)?？怂剐侣?/p>

佩琪“摸進”了美國第七大銀行的信息庫，不想?yún)s“死于話多”。據(jù)FBI介紹，今年3月，一個網(wǎng)名erratic的用戶在“美國版釘釘”Slack上“炫耀”，稱自己通過入侵獲取了第一資本銀行的用戶信息文件。7月17日，在美國代碼存放網(wǎng)站和開源社區(qū)GitHub上，同一網(wǎng)名用戶發(fā)布了相關(guān)信息鏈接?？吹竭@篇帖子的網(wǎng)友第一時間截圖警告了第一資本銀行，銀行方隨即報案?？梢哉f，在此前的一周多時間里，F(xiàn)BI通過暗地里調(diào)查，牢牢固定佩琪就是網(wǎng)絡(luò)用戶“erratic”的證據(jù)鏈。

FBI特工Joel Martini表示，佩琪甚至沒有什么刻意掩蓋行蹤的舉動。戳開GitHub的用戶信息頁，她的真實姓名——甚至包括middle name——都大搖大擺地橫在那里，更別提她的推特昵稱，直接就是“erratic”。正因為如此，F(xiàn)BI網(wǎng)絡(luò)工作小組早早就鎖定了佩琪，并很快發(fā)現(xiàn)她在一條推特私信中寫道，“想把黑來的用戶姓名、社會安全號碼公布出去”。

佩琪被逮捕后，F(xiàn)BI在她位于西雅圖的住所，搜出了內(nèi)含盜取信息復制檔案的電子儲存設(shè)備。有推特網(wǎng)友吐槽：“還以為會是另一個Kevin Mitnick(世界頭號黑客)，沒想到是個努力吸睛的孤獨癥患者。”盡管自稱有“社交障礙”，但佩琪·湯姆森在互聯(lián)網(wǎng)上很有表達欲。她說自己是自學成才，讀了一年貝爾維尤社區(qū)學院就輟學，因為沒有學歷所以不得不頻繁更換工作，希望自己有朝一日能重回校園……甚至于，她自稱通過手術(shù)成為女人。

黑客佩琪·湯普森 圖據(jù)紐約時報

8萬用戶的信用可能瞬間歸零

據(jù)悉，這起訴訟將于當?shù)貢r間8月1日舉行聽證會，若罪名成立，佩琪將面臨5年的刑期及25萬美元的罰金。

但對于第一資本銀行來說，事件離塵埃落定還相當遙遠。

盡管第一資本堅稱得知消息后“立即修復”了系統(tǒng)漏洞，且“泄露的信息不太可能被用于欺詐或傳播”，但據(jù)路透社報道，昨日，康涅狄州一名男子已向華盛頓州聯(lián)邦法院提起“違約”訴訟，并尋求代表第一資本銀行用戶取得集體訴訟地位。

目前，第一資本銀行正在努力“滅火”，以消除其中約8萬個銀行賬戶信息泄露導致的風險，因為這些賬戶均屬于擔保信用卡(Secured Credit Card)——即在消費前，存入部分或全部信用額度的現(xiàn)金。

在美國，申請擔保信用卡的通常是個人信用評分(FICO)較低，或者根本沒有信用歷史。信用卡專家Beverly Harzog介紹道，許多擔保信用卡用戶剛剛從個人危機中掙扎脫身——大病急病、離婚或者驟然失業(yè)，“他們非常努力地想改善自己的財務狀況”。而沒有信用卡的留學生、新移民，或者是剛成年的年輕人，則要以此為起點開始嶄新的人生。當然，還有那些曾因沖動消費而毀掉自己信用評分的人，這張卡是他們回歸生活正軌的“入場券”。

而這也意味著，如果此次泄露的數(shù)據(jù)被用于非法用途，那么這8萬用戶中絕大部分人辛苦積攢的信用，將被瞬間歸零。“相比而言，預存現(xiàn)金被盜用都不算什么，因為大多數(shù)銀行會在10天內(nèi)恢復受害者賬戶內(nèi)的盜用金額。雖然對于資金鏈嚴重緊張的人來說，十天的‘斷糧’很可能釀成新的危機。”

社保號碼被泄牽出美國人的“靈魂拷問”

此外，按第一資本銀行的說法，“超過99%的社會保障號碼未遭外泄”，比例雖然可喜，但落實到具體數(shù)字，就多達14萬。而這14萬用戶，面臨著身份遭盜用的風險。

CyberScout創(chuàng)始人Adam Levin表示，“只需要一個社會保障號碼和一些關(guān)鍵個人信息，犯罪分子就能造成重大損害。以受害者的名義，他們能支付醫(yī)療費用、開設(shè)新的信用卡賬戶、無需支付賬單，甚至利用受害人信息騙取二次抵押貸款。”

就此，很多美國人發(fā)出“靈魂拷問”：為什么社會保障號碼依然是我們唯一的身份憑據(jù)?

1936年，美國社會保障管理局引入社會保障號碼體系，用以追蹤工人的福利收入歷史。直到1972年，小卡片底部還寫著: “出于社會保障目的——而不是為了證明身份。”但一直以來，社會保障號碼是美國人可以識別個人身份的關(guān)鍵信息。

“不是每個人都有護照的，”云計算和安全公司Rapid7的首席數(shù)據(jù)科學家Bob Rudis說，“除了社會保障號碼，沒有別的官方途徑或者說政府認可的方式，能表明你實際上真的是你。”

Synopsys網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey認為，美國公民個人身份標識的替換已經(jīng)迫在眉睫。在他看來，生物特征識別技術(shù)，如指紋、虹膜掃描和面部識別，是社會保障號碼的潛在替代品。但他也指出，“這項技術(shù)還不夠成熟，復制一個人的指紋并非是不可能的，問題的關(guān)鍵在于我們?nèi)绾螌嵤┧?。如果系統(tǒng)沒有很好的安全性設(shè)計，這些生物識別技術(shù)就是將數(shù)據(jù)白白送給心懷歹意的人。”

而Bob Rudis則認為，困局并非無解，一些國家選擇使用獨特的數(shù)字編碼符作為公民的身份證號碼，并引用電子識別系統(tǒng)，使數(shù)據(jù)的傳輸和使用更加安全，“一旦物理卡片丟失，可以立即掛失并停止使用，這比社會保障號碼科學合理得多，而我們沒有足夠的基礎(chǔ)設(shè)施投入，或者說意愿和動力去做這樣的改變。”

紅星新聞特約記者 李彬彬

關(guān)鍵詞：

責任編輯：Rex_01