若罪名成立,黑客将面临5年的刑期及25万美元的罚金。 图片来源Shutterstock
本周一,一场被曝光的黑客攻击让亿万北美民众惶惶不安。美国第七大银行,同时也是第五大信用卡签发方的第一资本银行(Capital One)于周一(29日)发布声明称其数据库遭黑客攻击,约1.06亿银行卡用户及申请人信息泄露——影响范围包括美国约1亿名用户和加拿大约600万用户。
发言人表示,2005年至2019年期间申请过该行信用卡或抵押信用卡的个人及小型企业主,其用户注册信息遭窃取。另有约14万个社会保障号码和约8万个银行账户的消费评分、信用额度、账户余额、支付历史和交易信息等遭外泄。
当天晚些时候,FBI逮捕了一名33岁的女软件工程师,并以“计算机欺诈罪”对她发起指控。这场被美国媒体称作“美国历史上最大规模的银行数据泄露事件”,就此火速告破,但它留下的一地鸡毛,远不止“第一资本银行约1亿至1.5亿美元的年度额外成本开支”。
自我营销?黑客入侵却“死于话多”
先来认识一下这次事件的始作俑者——33岁的IT工程师,佩琪·汤姆森(Paige Thompson)。
就像攻击爆出后,更多美国吃瓜群众最关心的问题是:黑客是谁?一下子盗取多达1.06亿的用户信息,是有多厉害?
顶尖黑客用时30秒即破解美国最大银行系统,当然只是《剑鱼行动》这类电影才能开的金手指。不过,在全球著名黑客排行榜上,确实有这么一号把银行数据库当自家花园逛的人物——“流浪黑客”Adrian Lamo。Lamo下手目标不乏花旗银行、美国银行在内的大金融机构,但他的兴趣在于发现安全漏洞,并且通常还会告知企业相关的漏洞。
相比而言,导致本次大规模信息泄露的“元凶”,就有几分“监守自盗”的嫌疑。
事实上,2015年5月至2016年9月间,佩琪曾在与第一资本银行合作的云托管公司——亚马逊简单云存储服务(Amazon S3)公司担任系统工程师。这次她就是利用Web漏洞扫描工具,获得S3服务器的部分访问权,并提取了第一资本银行相关的文件。
黑客佩琪·汤普森 图据福克斯新闻
佩琪“摸进”了美国第七大银行的信息库,不想却“死于话多”。据FBI介绍,今年3月,一个网名erratic的用户在“美国版钉钉”Slack上“炫耀”,称自己通过入侵获取了第一资本银行的用户信息文件。7月17日,在美国代码存放网站和开源社区GitHub上,同一网名用户发布了相关信息链接。看到这篇帖子的网友第一时间截图警告了第一资本银行,银行方随即报案。可以说,在此前的一周多时间里,FBI通过暗地里调查,牢牢固定佩琪就是网络用户“erratic”的证据链。
FBI特工Joel Martini表示,佩琪甚至没有什么刻意掩盖行踪的举动。戳开GitHub的用户信息页,她的真实姓名——甚至包括middle name——都大摇大摆地横在那里,更别提她的推特昵称,直接就是“erratic”。正因为如此,FBI网络工作小组早早就锁定了佩琪,并很快发现她在一条推特私信中写道,“想把黑来的用户姓名、社会安全号码公布出去”。
佩琪被逮捕后,FBI在她位于西雅图的住所,搜出了内含盗取信息复制档案的电子储存设备。有推特网友吐槽:“还以为会是另一个Kevin Mitnick(世界头号黑客),没想到是个努力吸睛的孤独症患者。”尽管自称有“社交障碍”,但佩琪·汤姆森在互联网上很有表达欲。她说自己是自学成才,读了一年贝尔维尤社区学院就辍学,因为没有学历所以不得不频繁更换工作,希望自己有朝一日能重回校园……甚至于,她自称通过手术成为女人。
黑客佩琪·汤普森 图据纽约时报
8万用户的信用可能瞬间归零
据悉,这起诉讼将于当地时间8月1日举行听证会,若罪名成立,佩琪将面临5年的刑期及25万美元的罚金。
但对于第一资本银行来说,事件离尘埃落定还相当遥远。
尽管第一资本坚称得知消息后“立即修复”了系统漏洞,且“泄露的信息不太可能被用于欺诈或传播”,但据路透社报道,昨日,康涅狄州一名男子已向华盛顿州联邦法院提起“违约”诉讼,并寻求代表第一资本银行用户取得集体诉讼地位。
目前,第一资本银行正在努力“灭火”,以消除其中约8万个银行账户信息泄露导致的风险,因为这些账户均属于担保信用卡(Secured Credit Card)——即在消费前,存入部分或全部信用额度的现金。
在美国,申请担保信用卡的通常是个人信用评分(FICO)较低,或者根本没有信用历史。信用卡专家Beverly Harzog介绍道,许多担保信用卡用户刚刚从个人危机中挣扎脱身——大病急病、离婚或者骤然失业,“他们非常努力地想改善自己的财务状况”。而没有信用卡的留学生、新移民,或者是刚成年的年轻人,则要以此为起点开始崭新的人生。当然,还有那些曾因冲动消费而毁掉自己信用评分的人,这张卡是他们回归生活正轨的“入场券”。
而这也意味着,如果此次泄露的数据被用于非法用途,那么这8万用户中绝大部分人辛苦积攒的信用,将被瞬间归零。“相比而言,预存现金被盗用都不算什么,因为大多数银行会在10天内恢复受害者账户内的盗用金额。虽然对于资金链严重紧张的人来说,十天的‘断粮’很可能酿成新的危机。”
社保号码被泄牵出美国人的“灵魂拷问”
此外,按第一资本银行的说法,“超过99%的社会保障号码未遭外泄”,比例虽然可喜,但落实到具体数字,就多达14万。而这14万用户,面临着身份遭盗用的风险。
CyberScout创始人Adam Levin表示,“只需要一个社会保障号码和一些关键个人信息,犯罪分子就能造成重大损害。以受害者的名义,他们能支付医疗费用、开设新的信用卡账户、无需支付账单,甚至利用受害人信息骗取二次抵押贷款。”
就此,很多美国人发出“灵魂拷问”:为什么社会保障号码依然是我们唯一的身份凭据?
1936年,美国社会保障管理局引入社会保障号码体系,用以追踪工人的福利收入历史。直到1972年,小卡片底部还写着: “出于社会保障目的——而不是为了证明身份。”但一直以来,社会保障号码是美国人可以识别个人身份的关键信息。
“不是每个人都有护照的,”云计算和安全公司Rapid7的首席数据科学家Bob Rudis说,“除了社会保障号码,没有别的官方途径或者说政府认可的方式,能表明你实际上真的是你。”
Synopsys网络安全研究中心首席安全策略师Tim Mackey认为,美国公民个人身份标识的替换已经迫在眉睫。在他看来,生物特征识别技术,如指纹、虹膜扫描和面部识别,是社会保障号码的潜在替代品。但他也指出,“这项技术还不够成熟,复制一个人的指纹并非是不可能的,问题的关键在于我们如何实施它。如果系统没有很好的安全性设计,这些生物识别技术就是将数据白白送给心怀歹意的人。”
而Bob Rudis则认为,困局并非无解,一些国家选择使用独特的数字编码符作为公民的身份证号码,并引用电子识别系统,使数据的传输和使用更加安全,“一旦物理卡片丢失,可以立即挂失并停止使用,这比社会保障号码科学合理得多,而我们没有足够的基础设施投入,或者说意愿和动力去做这样的改变。”
关键词: 美国银行信息泄露