吳明宜前Amazon Web Services (AWS)工程師 2019年駭入客戶Capital One雲端儲存系統,洩露北美客戶超過1億資料。上周美國西雅圖法院判決這名前員工包括電腦詐欺及匯款詐欺等7項罪名成立,可能面臨最高20年刑期。
前 Amazon Web Services (AWS) 工程師 2019 年駭入客戶 Capital One 雲端儲存系統,洩露北美客戶超過 1 億資料。上周美國西雅圖法院判決這名前員工包括電腦詐欺及匯款詐欺等 7 項罪名成立,可能面臨最高 20 年刑期。
AWS 前工程師 Paige Thompson 2019 年 3 月利用 Capital One 防火牆漏洞入侵伺服器,取得大筆用戶個資。她事後還在網路上大方分享此事,一名用戶看到後報警。她於 7 月遭美國聯邦調查局 (FBI) 逮捕。
Capital One 是美國前十大銀行,這次事件影響該行 1 億名美國用戶及 600 萬加拿大客戶。被盜走的資料包括消費者姓名、住址、電子郵件、電話號碼等信用卡資料,以及部份用戶的社會安全碼及銀行帳號。這名駭客還另外入侵 30 幾家公司,除了竊取機密資料,也利用受害伺服器挖礦。 Capital One 因未能確保用戶安全被罰款 8000 萬美元,最後以 1.9 億美元和客戶和解。
當時 Thompson 還引起網路上她是倫理駭客 (ethical hacker) 或安全研究人員的爭議。因為她除了將用戶敏感資料公佈在 GitHub 網站上,也在推特和 Slack 上討論駭入細節。上個月美國司法部公佈新原則,將不會對從事安全研究的研究人員以《電腦詐欺和濫用法案》追究責任。不過顯然美國司法部並不覺得 Paige 是在進行「安全研究」。
西雅圖地方法院法官指出,她根本不是想協助企業改善電腦安全,而是想利用漏洞竊取資料以獲利。 Thompson 雖然被求刑,但尚未定罪,法院還要再等 9 月的量刑聽證會才會做出最後判決。
來源:The Verge