第一資本金融公司(Capital One Financial Corp.)發生大型個人資料外泄事件,有黑客入侵系統盜取超過1億名信用卡申請者的私隱資料,包括社安號碼、銀行戶口號碼等,聯邦調查局(FBI)已在7月29日拘捕一名涉案的女工程師。綜合《華盛頓郵報》、《今日美國》、彭博社報道,第一資本是總部設於維珍尼亞州的銀行,有經營信用卡業務,銀行7月29日發表聲明稱,美國有1億名客戶受個資外泄事件影響,而加拿大也有約600萬人受到波及。
600萬加人受影響
銀行表示,本月17日發現有人在網上討論區聲稱擁有該公司的大量數據。公司在發現有客戶資料外泄後,已立即修正錯誤設定,並迅速與聯邦執法部門合作調查。
銀行表示,被盜取的資料中,最大部分是客戶和小型企業在2005至2019年初申請信用卡時所提交的資料,包括識別個人身分的資料,例如姓名、地址、電話號碼和出生日期,以及財務資料,例如自己報稱的收入、信貸評分和交易歷史。
銀行透露,在信用卡客戶之中,有約14萬個社安號碼和8萬個銀行戶口號碼外泄。不過,銀行指,沒有信用卡號碼或登入認證資料被盜。
第一資本主席及行政總裁費爾班克斯(Richard D. Fairbank)表示,感激當局拘捕肇事者,對於發生客戶資料外泄事件,他深感抱歉,向擔憂受事件影響的民眾致以真誠道歉,他承諾會作出改正。銀行也透露,事件將為公司帶來1億元至1.5億元的開支。
女工程師曾在亞馬遜工作
根據法庭交件顯示,FBI在7月29日拘捕一名叫湯普森(Paige A. Thompson)的西雅圖女子,指控她在3月12至7月17日入侵系統盜取資料,起訴她一項電腦詐騙和濫用罪。
湯普森同日在西雅圖聯邦法院出庭時,一直在被告席低着頭。
法官泰勒(Mary Alice Theiler) 下令把她還柙,直至8月1日的保釋聆訊。湯普森若被判罪名成立,最高可被判監5年、罰款25萬元。
33歲的湯普森是一名前軟件工程師,曾是亞馬遜旗下雲端數據服務公司(Amazon Web Services,簡稱AWS)的員工。AWS發言人表示,湯普森最後在亞馬遜工作是2016年。
雖然起訴書未說明是哪間儲存數據的雲端服務供應商被盜資料,但曾提及資料是儲存於S3,即AWS的熱門數據儲存軟件Simple Storage Service。AWS發言人證實,該公司儲存第一資本數據的雲端系統,有資料被盜,但並非由於AWS系統有缺口或漏洞。檢方表示,是由於保護應用程式的防火牆出現錯誤設定所致。
FBI特別探員馬蒂尼(Joel Martini)在起訴文件中寫道,湯普森曾在社交媒體上留言,聲稱自己手握第一資本的數據資料,並承認她透過非法途徑取得。
起訴文件稱,湯普森以「反覆無常」(erratic)為網名,在網上留言稱,她在網上公開和承認第一資本的資料,猶如是穿上炸彈背心。第一資本是其中一間倡議使用雲端系統的銀行之一。公司曾表示會增加使用雲端系統儲存數據,計劃在2020年關閉本身的數據中心,以降低營運成本。
媒體形容這次個資外泄事件,是美國金融機構歷來最嚴重的個資外泄事件之一。消費者信用報告機構易速傳真(Equifax)在2017年被黑客盜取1.47億名客戶的個人資料,上周與監管機構達成7億元的和解協協議。