Capital One遭骇,大银行CEO已警告多年,凸显网路攻击风险
美国第十大银行第一资本(Capital
One)爆发客户个资大规模外洩事件,目前看来是单一骇客所为。这引发外界对于金融系统安全性和云端运算面临的内部人员威胁产生疑虑。
美国联邦调查局(FBI)29日逮捕33岁的前网路工程师汤普森(Paige
Thompson),指控她从第一资本的1亿馀份信用卡申请资料窃取个资。截至目前汤普森的动机与资料外洩规模尚未明朗。
第一资本表示,这次约有1亿名美国客户和600万名加拿大客户受影响,多达14万个美国社会安全号码和100万个加拿大社会安全号码外洩。
资安顾问公司丹宁集团(Denim Group)负责人狄克森(John
Dickson)说:"最令人震惊的是,这是一桩业馀性质的骇客攻击。"
狄克森指出,单一骇客就能从如此大型美国金融机构窃取这麽多个资,"这绝对是惊天动地的大事,恐怕会严重衝击社会大众对银行体系的信心"。
第一资本这次被骇事件,看来和消费者徵信公司易速传真(Equifax)、网路巨擘雅虎(Yahoo)及其他美国重大个资被骇事件不同,并非由複杂的民族国家实体发动。
美国当局表示,原任职于亚马逊公司(Amazon.com)云端运算部门"亚马逊网路服务"(AWS)的汤普森,是在软体分享网站GitHub和推特、Slack等社群平台吹嘘自己骇进银行资料,经人通风报信才被逮捕。
专门研究网路安全的纽约佩斯大学(PaceUniversity)资讯系教授海斯(Darren
Hayes)指出,这起事件是由受到信任的员工变成窃资大盗,凸显"内部人员"的骇客攻击风险。
海斯表示,"要抓出变坏的好人是项挑战",因此许多银行现在都设法利用人工智慧(AI)来侦测出员工的异常行为。
0
