美國第十大銀行第一資本(Capital One)爆發客戶個資大規模外洩事件,目前看來是單一駭客所為。這引發外界對於金融系統安全性和雲端運算面臨的內部人員威脅產生疑慮。
美國聯邦調查局(FBI) 29 日逮捕 33 歲的前網路工程師湯普森(Paige Thompson),指控她從第一資本的 1 億餘份信用卡申請資料竊取個資。截至目前湯普森的動機與資料外洩規模尚未明朗。
第一資本表示,這次約有 1 億名美國客戶和 600 萬名加拿大客戶受影響,多達 14 萬個美國社會安全號碼和 100 萬個加拿大社會安全號碼外洩。
資安顧問公司丹寧集團(Denim Group)負責人狄克森(John Dickson)說:「最令人震驚的是,這是一樁業餘性質的駭客攻擊。」
狄克森指出,單一駭客就能從如此大型美國金融機構竊取這麼多個資,「這絕對是驚天動地的大事,恐怕會嚴重衝擊社會大眾對銀行體系的信心」。
第一資本這次被駭事件,看來和消費者徵信公司易速傳真(Equifax)、網路巨擘雅虎(Yahoo)及其他美國重大個資被駭事件不同,並非由複雜的民族國家實體發動。
美國當局表示,原任職於亞馬遜公司(Amazon.com)雲端運算部門「亞馬遜網路服務」(AWS)的湯普森,是在軟體分享網站GitHub和推特、Slack等社群平台吹噓自己駭進銀行資料,經人通風報信才被逮捕。
專門研究網路安全的紐約佩斯大學(Pace University)資訊系教授海斯(Darren Hayes)指出,這起事件是由受到信任的員工變成竊資大盜,凸顯「內部人員」的駭客攻擊風險。
海斯表示,「要抓出變壞的好人是項挑戰」,因此許多銀行現在都設法利用人工智慧(AI)來偵測出員工的異常行為。
(新聞資料來源 : 中央社)
評論被關閉。