第一资本金融公司(Capital One Financial Corp.)发生大型个人资料外泄事件,有黑客入侵系统盗取超过1亿名信用卡申请者的私隐资料,包括社安号码、银行户口号码等,联邦调查局(FBI)已在7月29日拘捕一名涉案的女工程师。综合《华盛顿邮报》、《今日美国》、彭博社报道,第一资本是总部设于维珍尼亚州的银行,有经营信用卡业务,银行7月29日发表声明称,美国有1亿名客户受个资外泄事件影响,而加拿大也有约600万人受到波及。
600万加人受影响
银行表示,本月17日发现有人在网上讨论区声称拥有该公司的大量数据。公司在发现有客户资料外泄后,已立即修正错误设定,并迅速与联邦执法部门合作调查。
银行表示,被盗取的资料中,最大部分是客户和小型企业在2005至2019年初申请信用卡时所提交的资料,包括识别个人身分的资料,例如姓名、地址、电话号码和出生日期,以及财务资料,例如自己报称的收入、信贷评分和交易历史。
银行透露,在信用卡客户之中,有约14万个社安号码和8万个银行户口号码外泄。不过,银行指,没有信用卡号码或登入认证资料被盗。
第一资本主席及行政总裁费尔班克斯(Richard D. Fairbank)表示,感激当局拘捕肇事者,对于发生客户资料外泄事件,他深感抱歉,向担忧受事件影响的民众致以真诚道歉,他承诺会作出改正。银行也透露,事件将为公司带来1亿元至1.5亿元的开支。
女工程师曾在亚马逊工作
根据法庭交件显示,FBI在7月29日拘捕一名叫汤普森(Paige A. Thompson)的西雅图女子,指控她在3月12至7月17日入侵系统盗取资料,起诉她一项电脑诈骗和滥用罪。
汤普森同日在西雅图联邦法院出庭时,一直在被告席低着头。
法官泰勒(Mary Alice Theiler) 下令把她还柙,直至8月1日的保释聆讯。汤普森若被判罪名成立,最高可被判监5年、罚款25万元。
33岁的汤普森是一名前软件工程师,曾是亚马逊旗下云端数据服务公司(Amazon Web Services,简称AWS)的员工。AWS发言人表示,汤普森最后在亚马逊工作是2016年。
虽然起诉书未说明是哪间储存数据的云端服务供应商被盗资料,但曾提及资料是储存于S3,即AWS的热门数据储存软件Simple Storage Service。AWS发言人证实,该公司储存第一资本数据的云端系统,有资料被盗,但并非由于AWS系统有缺口或漏洞。检方表示,是由于保护应用程式的防火墙出现错误设定所致。
FBI特别探员马蒂尼(Joel Martini)在起诉文件中写道,汤普森曾在社交媒体上留言,声称自己手握第一资本的数据资料,并承认她透过非法途径取得。
起诉文件称,汤普森以“反复无常”(erratic)为网名,在网上留言称,她在网上公开和承认第一资本的资料,犹如是穿上炸弹背心。第一资本是其中一间倡议使用云端系统的银行之一。公司曾表示会增加使用云端系统储存数据,计划在2020年关闭本身的数据中心,以降低营运成本。
媒体形容这次个资外泄事件,是美国金融机构历来最严重的个资外泄事件之一。消费者信用报告机构易速传真(Equifax)在2017年被黑客盗取1.47亿名客户的个人资料,上周与监管机构达成7亿元的和解协协议。