美國第七大商業銀行數據大規模泄露 波及1億美國人(圖)

美國第七大商業銀行“第一資本金融公司”29日宣布，大約1億美國人和600萬加拿大人的個人信息遭一名“黑客”竊取。銀行認為這些信息不太可能用於欺詐。

33歲的女性嫌疑人佩奇·湯普森當天早些時候在美國西部華盛頓州西雅圖市被捕，隨後受到“計算機欺詐和濫用”一項罪名指控。湯普森曾吹噓自己“黑”入第一資本的經曆，因而被聯邦調查局(FBI)盯上。

【遭入侵】

本月17日，一名“源碼托管服務公司”(GitHub)用戶看到有人發布第一資本用戶個人信息，隨後提醒銀行方麵可能遭“黑”。

依據美國華盛頓州聯邦檢察官辦公室聲明，第一資本確認數據泄露後向FBI報案。這些用戶個人信息今年3月12日至7月17日期間遭竊。

第一資本29日發表聲明，說19日發現係統基礎架構的“配置漏洞”。大部分失竊數據是個人和小企業用戶2005年至今年初申請信用卡時所提供信息，包括姓名、地址、電話號碼、出生日期等身份信息以及個人收入、信用評分和部分轉賬記錄等金融數據。

第一資本說，大約14萬美國人的社會安全號碼以及與之關聯的8萬信用卡用戶的銀行賬號被盜。另有大約600萬加拿大用戶受影響，其中100萬人的社會保險號外泄。

這家主營信用卡業務的銀行強調，信用卡賬號、登錄憑證以及超過99%的社會安全號碼沒有外泄。

法新社報道，失竊的社會安全號碼等部分信息經過加密處理。美聯社報道，第一資本相信失竊信息不太可能用於欺詐，但會繼續調查，同時承諾向受影響用戶免費提供信用監控和身份信息保護服務。

【頻吹牛】

依據檢方聲明，嫌疑人湯普森經由“配置錯誤的web應用防火牆”侵入第一資本係統，從而獲取數據。

湯普森曾在西雅圖一家技術企業任軟件工程師，29日被捕。FBI調查人員在她的家裏找到儲存備份失竊數據的電子設備，同時認定“其他實體”可能成為嫌疑人“謀劃或實施網絡入侵的目標”。

FBI說，社交媒體“推特”用戶“怪人”在第一資本證實數據失竊前一個月向銀行發送信息，警告說可能會發布用戶姓名、出生日期和社會安全號碼等數據。

“怪人”是湯普森的網名。據稱她多次經由社交媒體和GitHub信息共享平台吹噓自己的黑客經曆。

不過，彭博社報道，湯普森29日現身西雅圖聯邦地區法院時似乎“崩潰”，聽證會期間一直把頭貼在桌前。法官瑪麗·泰勒要求拘留湯普森，8月1日舉行保釋聽證會。

如果罪名成立，湯普森麵臨最高5年監禁和25萬美元罰款。

【有先例】

第一資本總部位於弗吉尼亞州麥克萊恩，截至6月30日的資產估值為3736億美元。此次數據外泄可能讓這家銀行今年的成本增加1億至1.5億美元。

銀行董事長兼首席執行官理查德·費爾班克發表聲明，對事件引發受波及人士“可理解的擔憂”表示道歉，承諾“糾正錯誤”。

彭博社報道，湯普森侵入的實際是第一資本在一家雲計算企業租用的服務器。法庭文件沒有披露企業名稱。第一資本大力提倡使用雲服務，為降低成本打算在明年年底以前增加雲服務數據存儲比例，退出全部數據中心。

美聯社報道，美國企業近年多次發生數據泄露。最大征信服務企業之一伊奎法克斯公司2017年7月遭黑客侵入並竊取1.45億人的個人信息。

伊奎法克斯上周同意支付至少7億美元了結多起訴訟；其中至多4.25億美元補償給消費者。

另外，英國信息監管局本月8日以數據泄露為由對英國航空公司罰款1.8億英鎊。去年6月，約50萬名客戶的數據因英航網站遭攻擊而失竊。（海洋）（新華社專特稿）