业余骇客轻易入侵美国大银行 震惊资安界

美国第十大银行第一资本(CapitalOne)爆发客户个资大规模外泄事件,目前看来是单一骇客所为。这引发外界对于金融系统安全性和云端运算面临的内部人员威胁产生疑虑。

美国联邦调查局(FBI)29日逮捕33岁的前网络工程师汤普森(PaigeThompson),指控她从第一资本的1亿余份信用卡申请资料窃取个资。截至目前汤普森的动机与资料外泄规模尚未明朗。

第一资本表示,这次约有1亿名美国客户和600万名加拿大客户受影响,多达14万个美国社会安全号码和100万个加拿大社会安全号码外泄。

资安顾问公司丹宁集团(DenimGroup)负责人狄克森(JohnDickson)说:最令人震惊的是,这是一桩业余性质的骇客攻击。

狄克森指出,单一骇客就能从如此大型美国金融机构窃取这么多个资,这绝对是惊天动地的大事,恐怕会严重冲击社会大众对银行体系的信心。

第一资本这次被骇事件,看来和消费者征信公司易速传真(Equifax)、网络巨擘雅虎(Yahoo)及其他美国重大个资被骇事件不同,并非由复杂的民族国家实体发动。

美国当局表示,原任职于亚马逊公司(Amazon.com)云端运算部门亚马逊网络服务(AWS)的汤普森,是在软体分享网站GitHub和推特、Slack等社群平台吹嘘自己骇进银行资料,经人通风报信才被逮捕。

专门研究网络安全的纽约佩斯大学(PaceUniversity)资讯系教授海斯(DarrenHayes)指出,这起事件是由受到信任的员工变成窃资大盗,凸显内部人员的骇客攻击风险。

海斯表示,要抓出变坏的好人是项挑战,因此许多银行现在都设法利用人工智慧(AI)来侦测出员工的异常行为。

发表我的评论
取消评论
表情 签到
流汗 坏笑 撇嘴 大兵 流泪 发呆 抠鼻 吓到 偷笑 得意 呲牙 亲亲 疑问 调皮 可爱 白眼 难过 愤怒 惊讶 鼓掌

Hi,您需要填写昵称和邮箱!