美国第七大商业银行“第一资本金融公司”29日宣布,大约1亿美国人和600万加拿大人的个人信息遭一名“黑客”窃取。银行认为这些信息不太可能用于欺诈。
第一资本金融公司 资料图
33岁的女性嫌疑人佩奇·汤普森当天早些时候在美国西部华盛顿州西雅图市被捕,随后受到“计算机欺诈和滥用”罪名指控。汤普森曾吹嘘自己“黑”入第一资本的经历,因而被联邦调查局(FBI)盯上。
美国第一资本金融公司遭黑客入侵
本月17日,一名“源码托管服务公司”(GitHub)用户看到有人发布第一资本用户个人信息,随后提醒银行方面可能遭“黑”。
依据美国华盛顿州联邦检察官办公室声明,第一资本确认数据泄露后向FBI报案。这些用户个人信息今年3月12日至7月17日期间遭窃。
第一资本29日发表声明,说19日发现系统基础架构的“配置漏洞”。大部分失窃数据是个人和小企业用户2005年至今年初申请信用卡时所提供信息,包括姓名、地址、电话号码、出生日期等身份信息以及个人收入、信用评分和部分转账记录等金融数据。
第一资本说,大约1亿美国人用户的信息被盗,另有大约600万加拿大用户受影响,其中100万人的社会保险号外泄。
这家主营信用卡业务的银行强调,信用卡账号、登录凭证以及超过99%的社会安全号码没有外泄。
法新社报道,失窃的社会安全号码等部分信息经过加密处理。美联社报道,第一资本相信失窃信息不太可能用于欺诈,但会继续调查,同时承诺向受影响用户免费提供信用监控和身份信息保护服务。
嫌疑人多次吹嘘自己的黑客经历
依据检方声明,嫌疑人汤普森经由“配置错误的web应用防火墙”侵入第一资本系统,从而获取数据。
汤普森曾在西雅图一家技术企业任软件工程师,29日被捕。FBI调查人员在她的家里找到储存备份失窃数据的电子设备,同时认定“其他实体”可能成为嫌疑人“谋划或实施网络入侵的目标”。
嫌疑人汤普森的简历信息
FBI说,社交媒体“推特”用户“怪人”在第一资本证实数据失窃前一个月向银行发送信息,警告说可能会发布用户姓名、出生日期和社会安全号码等数据。
嫌疑人推特主页
“怪人”是汤普森的网名。据称她多次经由社交媒体和GitHub信息共享平台吹嘘自己的黑客经历。
不过,彭博社报道,汤普森29日现身西雅图联邦地区法院时似乎“崩溃”,听证会期间一直把头贴在桌前。法官玛丽·泰勒要求拘留汤普森,8月1日举行保释听证会。
如果罪名成立,汤普森面临最高5年监禁和25万美元罚款。
美国企业近年多次发生数据泄露
第一资本总部位于弗吉尼亚州麦克莱恩,截至6月30日的资产估值为3736亿美元。此次数据外泄可能让这家银行今年的成本增加1亿至1.5亿美元。
银行董事长兼首席执行官理查德·费尔班克发表声明,对事件引发受波及人士“可理解的担忧”表示道歉,承诺“纠正错误”。
彭博社报道,汤普森侵入的实际是第一资本在一家云计算企业租用的服务器。法庭文件没有披露企业名称。第一资本大力提倡使用云服务,为降低成本打算在明年年底以前增加云服务数据存储比例,退出全部数据中心。
美联社报道,美国企业近年多次发生数据泄露。最大征信服务企业之一伊奎法克斯公司2017年7月遭黑客侵入并窃取1.45亿人的个人信息。
伊奎法克斯上周同意支付至少7亿美元了结多起诉讼,其中至少4.25亿美元补偿给消费者。
另外,英国信息监管局本月8日以数据泄露为由对英国航空公司罚款1.8亿英镑。去年6月,约50万名客户的数据因英航网站遭攻击而失窃。