Capital One 客戶數據的大規(guī)模泄露已經影響到 1 億多美國用戶及 600 萬加拿大用戶。

由于云錯誤配置，黑客能夠能夠輕易地連接到信貸服務應用，獲取用戶的社會安全號碼和銀行賬號，這是有史以來金融服務公司遭遇的最大數據泄露事件之一，在規(guī)模上與 2017 年的 Equifax 事件不相上下。

美國聯邦調查局已經逮捕了此案的一名嫌疑人：亞馬遜網絡服務 (AWS) 的前工程師佩吉·湯普森，此前她曾在 GitHub 上吹噓自己的數據被盜。

根據在華盛頓聯邦檢察官辦公室西區(qū)提交的一份刑事訴狀，該入侵發(fā)生在 3 月 19 日至 7 月 17 日之間，通過一個「配置錯誤的 web 應用程序防火墻」。

這些非法訪問的數據存儲在從 AWS 租用的云服務器上，主要與 2005 年至 2019 年初消費者和企業(yè)的信用卡應用程序有關。

這些信息包括大量的個人信息，如姓名、地址和出生日期；以及財務信息，包括自我報告的收入和信用評分。

Capital One 表示，沒有信用卡賬號或登錄憑證受到攻擊，只有大約 14 萬個社會安全號碼受到影響，這意味著「99% 以上的社會安全號碼」沒有受到影響。

在加拿大，大約有 100 萬個社會保險號碼被泄露。

曝光的數據還包括 2016 年、2017 年和 2018 年 23 天的信用評分、信用額度、余額、支付歷史、聯系方式和交易數據片段。

Capital One 首席執(zhí)行官理查德·費爾班克 (Richard Fairbank) 在一份聲明中表示:「我真誠地為這起事件引發(fā)的擔憂道歉，這種擔憂是可以理解的，我一定會糾正這種擔憂。

」該公司補充稱，它已修復了所謂的「配置漏洞」，而且「這些信息不太可能被用于欺詐或由此人傳播」——不過調查仍在進行中。

該公司已承諾對受影響者進行信用監(jiān)控，但反網絡釣魚公司 Lucy Security 的首席執(zhí)行官科林·巴斯塔布爾 (Copn Bastable) 表示，Capital Bank 等銀行及其員工應在事件發(fā)生后采取更多行動，以發(fā)現潛在的網絡釣魚攻擊。

巴斯塔布在一份電子郵件聲明中解釋說:「在長達 12 個月的信用監(jiān)測結束后，Capital One 的受害者將在未來數年內被『捕撈』。

」「黑色網絡對大多數北美人的了解可能比他們的政府公開承認的要多。

雇主需要通過確保員工有安全意識來保護自己。

」嫌疑人湯普森在網絡對話中使用了「erratic」的化名，據稱他在 GitHub 和社交媒體上多次發(fā)布了有關盜竊的信息。

一個用戶名為「erratic」的推特賬號上的帖子寫道:「我基本上是把自己綁在炸彈背心上，F*cking 該死的 CapitalOne，兵承認是自己做的。

」Capital One 遭黑客入侵的消息傳出之前，美國信用監(jiān)測機構 Equifax 上周同意支付至多 7 億美元，以解決 2017 年發(fā)生在該公司的一起類似事件。

那次事件影響了近 1.5 億客戶。

亞馬遜方面則指出，法庭文件和 Capital One 的聲明承認存在配置錯誤。

該公司發(fā)言人對彭博社 (Bloomberg) 表示，Capital One 的數據不是通過 AWS 系統的漏洞訪問的。

「Capital One 的入侵證明，企業(yè)在有效部署安全技術方面還有很多需要學習的地方，」Immersive Labs 首席執(zhí)行官詹姆斯·哈德利 (James Hadley) 通過電子郵件表示。

從他們對這次入侵的描述來看，你會認為這是一個利用漏洞的精英黑客，這是情有可原的。

事實上，正如聯邦調查局所說，只是一個配置不良的防火墻允許黑客進入。

」Darktrace 網絡情報總監(jiān)賈斯汀·菲爾 (Justin Fier) 也同意了巴斯塔布的警告，他表示，抓捕行兇者——如果她被證明有罪——并不能保證數據尚未進入黑暗網絡。

「在新的數字時代，數據就是貨幣，一旦落入不法之徒之手，它就會像野火一樣在犯罪團伙中蔓延，」費伊爾補充說。