前AWS員工駭入客戶雲端系統洩露上億資料恐坐牢20年

前Amazon Web Services (AWS)工程師 2019年駭入客戶Capital One雲端儲存系統，洩露北美客戶超過1億資料。上周美國西雅圖法院判決這名前員工包括電腦詐欺及匯款詐欺等7項罪名成立，可能面臨最高20年刑期。

AWS前工程師Paige Thompson 2019年3月利用Capital One防火牆漏洞入侵伺服器，取得大筆用戶個資。她事後還在網路上大方分享此事，一名用戶看到後報警。她於7月遭美國聯邦調查局(FBI)逮捕。

Capital One是美國前十大銀行，這次事件影響該行1億名美國用戶及600萬加拿大客戶。被盜走的資料包括消費者姓名、住址、電子郵件、電話號碼等信用卡資料，以及部份用戶的社會安全碼及銀行帳號。這名駭客還另外入侵30幾家公司，除了竊取機密資料，也利用受害伺服器挖礦。Capital One因未能確保用戶安全被罰款8000萬美元，最後以1.9億美元和客戶和解。

當時Thompson還引起網路上她是倫理駭客(ethical hacker)或安全研究人員的爭議。因為她除了將用戶敏感資料公佈在GitHub網站上，也在推特和Slack上討論駭入細節。上個月美國司法部公佈新原則，將不會對從事安全研究的研究人員以《電腦詐欺和濫用法案》追究責任。不過顯然美國司法部並不覺得Paige是在進行「安全研究」。

西雅圖地方法院法官指出，她根本不是想協助企業改善電腦安全，而是想利用漏洞竊取資料以獲利。Thompson雖然被求刑，但尚未定罪，法院還要再等9月的量刑聽證會才會做出最後判決。

來源：The Verge