本文来自微信公众号:西雅图雷尼尔(ID:rainierstore),作者:西雅图雷尼尔,标题图来自东方IC,原标题《前Amazon员工佩奇居然黑了Capital One,一亿美国人信息泄露!》
Capital One被黑,1亿用户信息泄露
最近有个关系美国人的新闻是,Capital One数据泄漏了,大概有1亿人的个人信息受到影响。
Capital One 也泄漏了
Capital One表示黑客获得了包括信用评分和银行账户余额在内的信息,以及约14万名客户的社会安全号码。目前,银行将为受影响的申请者提供免费的信贷监测服务。
Capital One表示,被黑客攻击的大部分数据由2005年至2019年初申请信用卡的消费者和小企业提供的信息构成。除了电话号码、电子邮件地址、出生日期和自我报告的收入等数据外,黑客还可以访问2016年、2017年和2018年共计23天的信用评分、信用额度和余额,以及交易信息的片段。
Capital One表示,此次黑客的入侵不太可能被用于欺诈,但将继续调查此事。Capital One统计,数据泄露影响了全美约1亿人和加拿大约600万人。
而这一切都是由于这家银行的防火墙权限设置问题,被盗窃来的的个人信息居然全部发布在了github上面。
警方顺藤摸瓜,很快找到了嫌犯Paige Thompson,很快佩奇就被绳之以法。
小猪佩奇身上纹,我就是社会人
所有人都在问,这个Paige Thompson究竟是谁?为什么这么做?因为如果真是为了图钱,拖了库之后一般把数据卖到暗网上去,而不是挂到github上面去。挂到github好比是在警察局门口开堂会。
这个家伙的twitter头像如下:
而进一步调查显示这位黑客是前Amazon的员工,是个抑郁症患者,Transgender。作案动机,现在看来有点是报复社会。
佩奇的简历
此人是个草莽出身,自称是self learner,也就在2005年~2006年上过本地的社区大学Bellevue Community College,而且貌似没有毕业就闯社会了。最近的工作经历是在Amazon的S3——Amazon Simple Storage Service当软件工程师,2016年离职。Amazon发言人承认她/他是前员工,但是声明她没有影响到S3的安全。
看了一下他的twitter,确实是个破解和安全领域里面的爱好者,熟练使用IDAPro,熟悉CVE,熟悉硬件hack。
应该是今年刚刚学的IDAPro
这次作案的动机,更多是炫耀和报复社会。因为她自称自己最大的困扰是,是很难交到朋友。
在社交媒体上炫耀自己搞定了Capital One
结果就是FBI上门,然后就是法院的案子。
案件卷宗
Capital One背后的问题
黑客被绳之以法,自不用说,但是作为美国第五大银行,Capital One在整个案子中也有巨大的问题。
防火墙配置居然如此混乱。权限居然被一个黑客,单枪匹马把所有的用户信息都给拖走了。公司一定没有配置入侵检测系统。否则这种异常的外网流量,没发现才见了鬼。
完全没有监控系统。这次入侵被发现,完全是黑客自己行为艺术把偷到的数据放到github上,而且声称要搞个大新闻。路人甲发现了之后,跟Capital One说,hey,你们数据被盗了,你们知道不?
自始至终,Capital One的IT部门完全不存在。如果这次Capital One的IT部门不被追责,这家银行以后完全不值得信任。
结语
Capital One被黑后,加上去年的EQUIFAX被黑,估计大家的所有资料什么SSN啊,地址啊,早就在暗网批发了。所以平时一定要注意自己的credit card history,以及各种异常。
去年EQUIFAX的受害者,可以去这些网站查查自己的是不是受到了影响。
https://eligibility.equifaxbreachsettlement.com/en/eligibility
https://www.equifaxbreachsettlement.com/
https://www.uscreditcards101.com/data-breach-summary/
这件事情的结果,我就好奇两件事:
Capital One的IT团队负责人会不会被开掉;
如果最后法庭判定佩奇有罪入狱,那么问题来了,作为Transgender,自认为女。她会被放进男监狱,还是女监狱?还是新开50个新类别的监狱?
本文来自微信公众号:西雅图雷尼尔(ID:rainierstore),作者:西雅图雷尼尔,标题图来自东方IC,原标题《前Amazon员工佩奇居然黑了Capital One,一亿美国人信息泄露!》