美國(guó)三大信用卡公司之一Capital One（美國(guó)第一資本金融公司）表示， 約有1億美國(guó)信用卡客戶和600萬(wàn)加拿大信用卡持有人、申請(qǐng)人的個(gè)人信息被黑客盜取，其中涉及110萬(wàn)個(gè)加拿大社會(huì)保險(xiǎn)和美國(guó)社保賬號(hào)，以及8萬(wàn)個(gè)關(guān)聯(lián)銀行賬號(hào)。

這是有史以來(lái)涉及金融服務(wù)公司的最大數(shù)據(jù)盜竊案之一。

當(dāng)?shù)貢r(shí)間7月30日，紐約州總檢察長(zhǎng)萊蒂婭·詹姆斯（Letitia James）宣布，將立即對(duì)此案展開(kāi)調(diào)查，并竭力為受影響的紐約市民提供幫助。

亞馬遜前員工作案

Capital One是全美首屈一指的綜合性金融機(jī)構(gòu)，在信用卡、汽車(chē)貸款、家庭貸款、儲(chǔ)蓄、個(gè)人信貸、保險(xiǎn)等各方面業(yè)務(wù)都非常出色。

此次案件的發(fā)生，主要?dú)w因于該公司防火墻權(quán)限的設(shè)置問(wèn)題。

Capital One是亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）的云計(jì)算服務(wù)客戶。 一直以來(lái)，Capital One都通過(guò)自己的Web應(yīng)用程序訪問(wèn)云端數(shù)據(jù)， 但由于“防火墻配置錯(cuò)誤”，讓亞馬遜前員工湯普森·佩奇（Thompson Paige）有機(jī)會(huì)“黑”進(jìn)了Capital One的應(yīng)用程序，非法訪問(wèn)用戶數(shù)據(jù)。

▲圖片來(lái)源：湯普森·佩奇Twitter賬戶

但奇怪的是，湯普森·佩奇在盜取用戶信息后， 并沒(méi)有用于商業(yè)目的，而是上傳到了全球最大的代碼托管平臺(tái)Github。

Capital One方面稱(chēng)，“根據(jù)迄今為止的分析，我們認(rèn)為該信息不太可能被用于欺詐或個(gè)人傳播。但我們將繼續(xù)調(diào)查。”

要知道，Github的企業(yè)服務(wù)器及用戶上傳信息均需接受美國(guó)法律監(jiān)管， 佩奇的行為就相當(dāng)于在警察眼皮底下作案，與“自投羅網(wǎng)”無(wú)異。

那么，她這么做的動(dòng)機(jī)是什么？

佩奇此前的推特賬號(hào)信息顯示，其今年33歲，住在西雅圖，有一定的心理健康問(wèn)題。她最大的困擾就是“很難交到朋友”。有分析稱(chēng)，佩奇的作案動(dòng)機(jī)類(lèi)似于是在“報(bào)復(fù)社會(huì)”。

根據(jù)美國(guó)聯(lián)邦調(diào)查局（FBI）的證詞，佩奇在盜取數(shù)據(jù)后，還在社交媒體上用了一個(gè)叫“古怪的人”（Erratic）的網(wǎng)名，炫耀自己搞定了Capital One。

于是當(dāng)局很快就通過(guò)這些線索，找到了佩奇，并將之逮捕。當(dāng)?shù)貢r(shí)間7月29日，佩奇在西雅圖出庭，并被指控計(jì)算機(jī)欺詐和濫用，其推特賬號(hào)也被查封。

云服務(wù)的風(fēng)險(xiǎn)

Capital One表示，此次事件將在2019年產(chǎn)生約1億至1.5億美元的增量成本，用于支付客戶通知、信息監(jiān)控以及技術(shù)和法律費(fèi)用。除此之外，專(zhuān)家還警告稱(chēng)，Capital One可能會(huì)因此受到更多關(guān)注。

當(dāng)?shù)貢r(shí)間7月30日，數(shù)據(jù)泄露的消息已導(dǎo)致Capital One股價(jià)下跌5.9%至91.21美元。

而在一系列備受矚目的安全事件發(fā)生后，一些公司也開(kāi)始擔(dān)心將數(shù)據(jù)向云端遷移的風(fēng)險(xiǎn)。

目前，亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）是全球最大的公共云服務(wù)提供商，也是亞馬遜旗下最賺錢(qián)的一個(gè)部門(mén)。

值得注意的是，此次案件披露的時(shí)間正值亞馬遜的關(guān)鍵時(shí)刻。 因?yàn)槟壳?a href="http://www.qzkangyuan.com/cnidc/cloud/yzx/2017/7019.html">亞馬遜正在招徠銀行、醫(yī)療保健等受到高度監(jiān)管的行業(yè)企業(yè)，香港免備案主機(jī)，將敏感信息從“本地物理數(shù)據(jù)中心”（On-premise physical data centres）轉(zhuǎn)移到亞馬遜云端。 亞馬遜還承諾，這將會(huì)幫助企業(yè)降低成本、提高生產(chǎn)力。

而Capital One首席執(zhí)行官Richard Fairbank一直是轉(zhuǎn)向云服務(wù)的堅(jiān)定倡導(dǎo)者之一。

“Capital One和AWS一直是令人驕傲的公眾合作伙伴，也是云服務(wù)的成功案例。但這種違規(guī)行為提醒我們，閱讀合同中的細(xì)則，并注重技術(shù)配置的細(xì)節(jié)是至關(guān)重要的。”喬治亞理工學(xué)院信息安全與隱私協(xié)會(huì)聯(lián)合主任Michael Farrell說(shuō)。

美國(guó)法律服務(wù)業(yè)企業(yè)Epiq公司數(shù)據(jù)合規(guī)總監(jiān)陳立成也告訴《國(guó)際金融報(bào)》記者，“此案發(fā)生的主要原因，還是數(shù)據(jù)安全措施的漏洞和云服務(wù)平臺(tái)本身的缺陷。對(duì)于銀行來(lái)說(shuō)，云服務(wù)器租用，全面引入‘公有云’是不現(xiàn)實(shí)的，本地數(shù)據(jù)中心只是其中一個(gè)考慮因素，最重要的問(wèn)題還是，一旦有安全或隱私問(wèn)題要如何面臨監(jiān)管，以及由誰(shuí)來(lái)承擔(dān)、承擔(dān)怎樣責(zé)任的問(wèn)題。”