变性黑客盗窃上亿个人信息 600万加拿大人中招!

by

Résultats de recherche d'images pour « Paige A. Thompson »

七天记者 颜宏

上个月发生的北美最大信用合作社加鼎银行集团(Mouvement Desjardins)被内部员工泄露近290万个人和企业信息的余波未平,很多魁北克人还在焦虑着如何防止因个人信息泄露导致的潜在风险,美国第五大信用卡发行商COF(Capital One Financial Corp.)本周一宣布再次发生大规模个人信息泄露事件,约1.06亿信用卡客户的信息被泄露,其中包括600万加拿大客户,因为很多加拿大人申请COF信用卡是因为该公司与Costco, Hudson’s Bay等知名商家长期合作,特别这还是Costco 指定的信用卡,所以涉及加拿大的客户多是Costco的会员。这也是这家公司在5年时间里发生的第三次大规模客户信息泄露事件,上两次分别发生在2014年和2107年。

根据COF发布的信息,这次个人信息泄露的主体是从2005年到2019年初申请信用卡产品的个人和小企业,被泄露的信息包括该公司在收到信用卡申请时收集的个人信息,包括姓名、住址、邮政编码、电话号码、电子邮件地址、出生日期,自我报告的收入,部分人的社会保险号码(Social Insurance Numbers)和银行账户号码,这其中有1百万加拿大人的SIN号码和8万个银行账户号码。除了这些数据之外,黑客还获得了信用卡数据,包括信用评分、限额、余额和付款历史以及2016年、2017年和2018年共23天的交易数据。就是说不仅持卡人的个人信息被泄露,持卡人的消费习惯和经济能力也被外人所知,比如持卡人喜欢购买什么牌子的商品,经常去哪个餐馆吃饭,车子多久加一次油,每次加什么型号的汽油;出去旅游的行程安排以及住宿酒店选择等等各种有可能导致商家进行有针对性推销的消费信息。

泄露始末

据悉,本次泄密自3月12日就发生了,一直持续到7月17日,这期间COF浑然不觉,安全防范措施形同虚设,还是犯罪嫌疑人自己在网上炫耀,并贴出了部分COF客户的个人信息后被一位有良知的网友看到,才通知了美国的金融监管机构,该机构一位信息安全专家在7月19日通过电子邮件通知了COF,被示警两天后,COF才报警,警方则在7月29日抓捕了犯罪嫌疑人,原负责COF数据托管的亚马逊云计算公司AWS(Amazon Web Services-Cloud Computing Services)系统工程师汤普森(Paige A. Thompson)。

尽管COF表示本次被泄露的信息不太可能被传播或用于欺诈,但司法部的刑事起诉书称,汤普森打算将这些数据在网上散布。COF则强调自己的调查仍在继续,预计此次事件将造成约1亿至1.5亿美元的损失,主要是客户通知、信贷监控和法律支持方面的费用。

COF还在最快时间内提供了以下的指南来帮助客户确定自己的信息是否已被访问以及如何加强帐户安全性。但和加鼎银行总裁在事件发生后立即召开新闻发布会说明情况,宣布防范措施不同,截止到记者发稿为止,COF的高层一直保持沉默。

COF发布的指南包括:

  • COF将通过“各种渠道”通知受影响的个人,并为所有受影响人提供免费的信用监控和身份保护服务;
  • 建议客户注册帐户短信或电子邮件提醒,以帮助跟踪自己的金融活动;
  • 建议客户随时监控信用卡帐户是否存在异常或可疑交易;
  • 如果发现异常活动,请拨打信用卡背面的电话号码;
  • 提醒客户对发送钓鱼邮件和电话的可能性保持警惕,网络钓鱼经常冒充合法公司或官员试图获得个人信息或银行账户信息‘
  • 强调COF绝对不会通过电话或电子邮件要求客户提供信用卡或帐户信息,或者社会保险号码;
  • 发现涉及网络钓鱼活动的电子邮件后将其转发至Capital One官方安全帐户abuse@capitalone.com。在转发后,请勿回复可疑电子邮件并将其删除。

黑客其人

加鼎银行泄密事件发生后,公众至今不知道那个非法盗走近300万人个人信息并在暗网上打包售卖的“家贼”到底是谁,用什么手法获得的访问权限以及到底有多少信息已经被售卖,警方和相关调查机构都以案件正在调查中为由而三缄其口,到目前为止该“数据专家“只是被开除,并没有被起诉。而发生在COF的信息泄露案则很快锁定犯罪嫌疑人,F.B.I在7月29日逮捕了来自西雅图、33岁的汤普森,她被指控犯有计算机欺诈和滥用行为,并将于8月1日出庭。

根据提交到法庭的资料,汤普森在2015年至2016年间担任亚马逊云计算网络服务公司的系统工程师,目前供职于Netcrave Communications,一家为多个媒体提供服务器服务的公司。

她是一名变性人,现在为女性,以“Erratic”(意为漂泊不定的人、古怪的人)的名字活跃于社交网络。她经常在Twitter,Meetup,GitHub,Slack等社交平台上分享自己的生活,将自己描述成一个爱猫的软件工程师,作为一名变性人,她也公开表达过在交朋友等方面遇到的困难,她还曾分享过自己精神方面的问题,谈过想要自杀的念头等。也正是这种止不住“晒“的欲望让警方不费吹灰之力就锁定了她。

据悉,汤普森在盗窃COF客户资料时非常谨慎,根据她自己在社交网络“晒”出信息,她是通过对COF网络应用程序上的防火墙进行“错误配置”获得了对敏感数据的访问权限,并最终获取客户文件。为了避免被追踪到,她使用可匿名的特殊浏览器Tor来操作,使用IPredator 的 VPN服务来规避追查,同时又在公开的社交网络上炫耀自己的“成就“。

她在聊天软件Slack的一个频道中,解释了自己用来侵入COF的方法,即使用特殊命令来提取存储在亚马逊云服务器上的COF目录中的文件;她在twitte上吹嘘自己拿到了COF的客户信息,并宣布想要和网友分享这些客户的姓名、出生日期和社会保险号码等信息的愿望;4月份就在软件源代码托管服务平台GitHub上使用自己的真实名字发布自己盗取COF信息的秘密,为了表明真实性,还贴出了她在3月12日至7月17日间窃取的部分COF客户资料,而正是一名使用GitHub的网友看到她的帖子才通知了有关机构。

汤普森也从不羞于启齿她的“黑客“身份,她在Meetup上组织了一个名为Seattle Warez Kiddies的小组,这个小组被描述为“对分布式系统、编程、黑客攻击和破解感兴趣的人的聚集地”。

正是她的高调网络社交活动给警方留下了追查线索。据悉,F.B.I.先是通过汤普森在Meetup上留下的痕迹追踪到她的其他社交网络动态,并看到她在twitter和Slack上描述这次数据泄露的帖子。通过她过往帖子中的一张宠物发票照片,调查人员最终核实了她的身份。

和社交网络上的高调不同,汤普森被抓捕时看起来很落魄,和其他四个人合租一套公寓,也没钱请律师,最后由法院指定了援助律师。

云数据安全

提交到法庭的文件显示,被汤普森盗取的COF客户数据存储在AWS,她突破了一个防范不严的防火墙,从而入侵了这些数据,这在金融界引发了使用云端服务是否安全的思考。COF是金融机构中最早使用云计算服务的公司之一,因为觉得云计算安全可靠,COF在其他银行还在为是否将客户数据移出自己内部的数据中心方面犹豫不决时,率先使用或试用了几乎所有AWS的产品来开发、测试、构建和运行其最关键的工作,包括全新的旗舰产品:手机银行应用程序。

随着越来越多的公司转向亚马逊或微软等服务商来完成本应在自身数据中心内配置计算机的工作,云计算行业得以蓬勃发展。这些服务器和存储设备的处理能力随后被出租给云客户,客户根据计算机的工作量来支付费用。

而云计算之所以流行起来,部分原因是使用这个服务可以让软件工程师避开繁琐的安全限制以及绕过企业自行开发技术方面的缓慢过程,转而获得启动AWS服务器所带来的简便和速度,但很容易产生许多云配置错误问题,而这些问题可能会使敏感数据在未经授权的情况下被访问。比如仅在2017年,就发生了美国加州数据分析公司Alteryx——执行美国人口普查的公司之一,因亚马逊AWS S3存储桶简单的配置错误问题,导致1.23亿美国家庭的敏感数据泄露;再比如美国陆军情报与安全司令部(INSCOM)至少100GB的“军事机密”文件,被暴露在Amazon S3服务器上供网民公开访问;还有AWS上存储的180万伊利诺伊州选民的信息被泄露等。

这些信息泄露事件不仅给美国公民隐私安全和选举安全蒙上了一层阴影,也给广大的云计算服务商以及云计算服务使用者提出了一个无法回避的问题——云端数据安全到底该由谁来保护?怎么保护?保护不当谁该为此买单?

随着涉及云端数据的泄露事件越来越多,亚马逊已经采取了一些措施,力图将这种风险降至最低。2017年,亚马逊推出了一系列技术来检测此类配置问题,并使其更易于修复。对于本次事件,亚马逊发言人将其归因于防火墙问题,而非云计算问题。

尽管本次信息泄露事件不是发生在加拿大,但涉及6百万加拿大人的信息安全,联邦财务部长Bill Morneau已经要求联邦金融机构监管办公室(Office of the Superintendent of Financial Institutions)密切和美国方面联络,并对此案进行调查,以找到适当的方法防止发生同样的信息泄露问题。

Equifax刚结案

就在7月27日,消费者信用报告公司Equifax刚刚宣布支付高达7亿美元来赔偿2017年因其个人信息泄露给客户造成的损失。

Equifax遭黑客入侵事件发生在2017年,信息泄露从5月中旬一直持续到7月。尽管这个总部设在亚特兰大的机构掌管着8亿人的信用及保险记录,涉及到消费、贷款等大量隐私数据,但Equifax的安全防范系统不堪一击,让犯罪分子利用其软件漏洞获取到信息库的访问权。结果,1.43亿客户的个人信息被泄露,其中有近10万加拿大人,泄露的信息包括姓名、地址、出生日期、驾驶证号码以及社会保险号码等,足以让不法之徒盗取任何人的身份。

这是美国历史上最严重的隐私数据安全事件之一,若以美国人口3.2亿计算,受本次事件影响的人数超过了全国人口的40%。

纽约检察长Letitia James的办公室在2017年与其他49个州的检察长共同领导了针对Equifax的诉讼。在COF客户泄露发生后,她在7月30日表示正在对此次事件进行调查,将努力确保为这次泄露事件受害者提供救济,强调绝不能允许这种性质的泄露成为每天的常态。她还批评COF在信息安全方面做得不够,没有提供可保护数百万个人信息的保障措施。

信息安全专家Steve Waterhouse也指责COF在信息安全方面的疏忽,认为既然类似COF的金融机构要求客户提供个人信息,那这些金融机构就有责任保障这些信息的安全,一旦发生被盗或泄露,金融机构就应该承担责任。他同时也呼吁联邦政府制定更严厉的信息安全制度,重罚那些疏于管理而导致客户信息泄露的公司。