前AWS員工駭入客戶雲端系統洩露上億資料恐坐牢20年
前Amazon Web Services (AWS)工程師 2019年駭入客戶Capital One雲端儲存系統,洩露北美客戶超過1億資料。上周美國西雅圖法院判決這名前員工包括電腦詐欺及匯款詐欺等7項罪名成立,可能面臨最高20年刑期。
AWS前工程師Paige Thompson 2019年3月利用Capital One防火牆漏洞入侵伺服器,取得大筆用戶個資。她事後還在網路上大方分享此事,一名用戶看到後報警。她於7月遭美國聯邦調查局(FBI)逮捕。
Capital One是美國前十大銀行,這次事件影響該行1億名美國用戶及600萬加拿大客戶。被盜走的資料包括消費者姓名、住址、電子郵件、電話號碼等信用卡資料,以及部份用戶的社會安全碼及銀行帳號。這名駭客還另外入侵30幾家公司,除了竊取機密資料,也利用受害伺服器挖礦。Capital One因未能確保用戶安全被罰款8000萬美元,最後以1.9億美元和客戶和解。
當時Thompson還引起網路上她是倫理駭客(ethical hacker)或安全研究人員的爭議。因為她除了將用戶敏感資料公佈在GitHub網站上,也在推特和Slack上討論駭入細節。上個月美國司法部公佈新原則,將不會對從事安全研究的研究人員以《電腦詐欺和濫用法案》追究責任。不過顯然美國司法部並不覺得Paige是在進行「安全研究」。
西雅圖地方法院法官指出,她根本不是想協助企業改善電腦安全,而是想利用漏洞竊取資料以獲利。Thompson雖然被求刑,但尚未定罪,法院還要再等9月的量刑聽證會才會做出最後判決。
來源:The Verge