美國三大信用卡公司之一Capital One（美國第一資本金融公司）表示， 約有1億美國信用卡客戶和600萬加拿大信用卡持有人、申請人的個人信息被黑客盜取，其中涉及110萬個加拿大社會保險和美國社保賬號，以及8萬個關聯銀行賬號。

這是有史以來涉及金融服務公司的最大數據盜竊案之一。

當地時間7月30日，紐約州總檢察長萊蒂婭·詹姆斯（Letitia James）宣布，將立即對此案展開調查，并竭力為受影響的紐約市民提供幫助。

亞馬遜前員工作案

Capital One是全美首屈一指的綜合性金融機構，在信用卡、汽車貸款、家庭貸款、儲蓄、個人信貸、保險等各方面業務都非常出色。

此次案件的發生，主要歸因于該公司防火墻權限的設置問題。

Capital One是亞馬遜網絡服務（AWS）的云計算服務客戶。 一直以來，Capital One都通過自己的Web應用程序訪問云端數據， 但由于“防火墻配置錯誤”，讓亞馬遜前員工湯普森·佩奇（Thompson Paige）有機會“黑”進了Capital One的應用程序，非法訪問用戶數據。

▲圖片來源：湯普森·佩奇Twitter賬戶

但奇怪的是，湯普森·佩奇在盜取用戶信息后， 并沒有用于商業目的，而是上傳到了全球最大的代碼托管平臺Github。

Capital One方面稱，“根據迄今為止的分析，我們認為該信息不太可能被用于欺詐或個人傳播。但我們將繼續調查。”

要知道，Github的企業服務器及用戶上傳信息均需接受美國法律監管， 佩奇的行為就相當于在警察眼皮底下作案，與“自投羅網”無異。

那么，她這么做的動機是什么？

佩奇此前的推特賬號信息顯示，其今年33歲，住在西雅圖，有一定的心理健康問題。她最大的困擾就是“很難交到朋友”。有分析稱，佩奇的作案動機類似于是在“報復社會”。

根據美國聯邦調查局（FBI）的證詞，佩奇在盜取數據后，還在社交媒體上用了一個叫“古怪的人”（Erratic）的網名，炫耀自己搞定了Capital One。

于是當局很快就通過這些線索，找到了佩奇，并將之逮捕。當地時間7月29日，佩奇在西雅圖出庭，并被指控計算機欺詐和濫用，其推特賬號也被查封。

云服務的風險

Capital One表示，此次事件將在2019年產生約1億至1.5億美元的增量成本，用于支付客戶通知、信息監控以及技術和法律費用。除此之外，專家還警告稱，Capital One可能會因此受到更多關注。

當地時間7月30日，數據泄露的消息已導致Capital One股價下跌5.9%至91.21美元。

而在一系列備受矚目的安全事件發生后，一些公司也開始擔心將數據向云端遷移的風險。

目前，亞馬遜網絡服務（AWS）是全球最大的公共云服務提供商，也是亞馬遜旗下最賺錢的一個部門。

值得注意的是，此次案件披露的時間正值亞馬遜的關鍵時刻。 因為目前亞馬遜正在招徠銀行、醫療保健等受到高度監管的行業企業，香港免備案主機，將敏感信息從“本地物理數據中心”（On-premise physical data centres）轉移到亞馬遜云端。 亞馬遜還承諾，這將會幫助企業降低成本、提高生產力。

而Capital One首席執行官Richard Fairbank一直是轉向云服務的堅定倡導者之一。

“Capital One和AWS一直是令人驕傲的公眾合作伙伴，也是云服務的成功案例。但這種違規行為提醒我們，閱讀合同中的細則，并注重技術配置的細節是至關重要的。”喬治亞理工學院信息安全與隱私協會聯合主任Michael Farrell說。

美國法律服務業企業Epiq公司數據合規總監陳立成也告訴《國際金融報》記者，“此案發生的主要原因，還是數據安全措施的漏洞和云服務平臺本身的缺陷。對于銀行來說，云服務器租用，全面引入‘公有云’是不現實的，本地數據中心只是其中一個考慮因素，最重要的問題還是，一旦有安全或隱私問題要如何面臨監管，以及由誰來承擔、承擔怎樣責任的問題。”