不怎樣的駭客卻駭進Capital One 金融高牆不堪一擊?

| August 1, 2019 | 0 Comments

Image via Shutterstock

Capital One 銀行驚傳上億筆信用卡申請資料遭駭,讓大型銀行高層多年來警告這類網路攻擊風險的夢魘成真;而且與過去信用業者 Equifax 與旅館業巨擘萬豪(Marriott)遭駭案件不同的是,本案並非境外犯罪集團所為,而是由熟悉Capital One內部作業流程的工程人員所為,更凸顯金融業現在面對網路攻擊的手法多變難防。

閱讀延伸:駭客竊取信用卡個資被捕 美加1.06億用戶受害

財經新聞媒體CNBC報導,過去十年來針對企業界的大型網路攻擊一件接著一件,金融業更是重災區,迫使各家銀行競相投入資訊安全的軍備競賽。

根據管理顧問業者德勤(Deloitte)今年5月調查,摩根大通與美國銀行全美前兩大銀行業者,每年資安預算合計高達14億元,且全美銀行業每位員工的資安支出平均每年2300元。

2015年美銀執行長莫尼漢(Brian Moynihan)曾表示,資訊安全「是全公司唯一沒有預算限制的地方」;2014年曾深受其害的摩根大通執行長戴蒙(Jamie Dimon),也警告金融業必須嚴肅看待網路攻擊。

戴蒙在今年4月提出的股東信中說:「資訊安全威脅極可能是美國金融體系的最大威脅,因為金融系統互相連結、敵人則冷酷精明,因此我們必須時時保持警覺。」

報導指出,本案與過去類似案件不同處,在於嫌犯佩姬.湯普森(Paige Thompson)只是美國國內的一位軟體工程師,而先前案件極可能都是有外國政府支持的境外駭客集團所為。

這意味對大型科技業者、雲端服務業者及銀行來說,本案凸顯的問題是如何控管對敏感客戶資料的使用權限,以及如何偵測行為異常的內部人士。

根據檢方起訴書,湯普森利用了 Capital One 使用雲端伺服器上一個設定錯誤的防火牆,以能夠掩蓋使用者行蹤的Tor瀏覽器切入該伺服器,還使用名為 IPredator 的 VPN(虛擬私人網路)進一步隱藏她的網路活動。

這些因素結合了她可能對 Capital One 內部作業方式的了解,都意味資安專家與銀行業都密切注意本案發展,特別是Capital One是否原本能夠避免出現這個漏洞,卻沒有做到。

 

 

本新聞授權來自聯合新聞網 udn.com

Comments

comments

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Category: News 新聞, Whats Hot

About the Author (Author Profile)