前AWS工程师因资本一个数据违规而被捕

2022-05-15 09:46:22来源:

首都一直揭示了一个影响了1亿美国客户的数据泄露,加拿大进一步六千万,因为联邦调查局(联邦调查局)军官逮捕了嫌疑人。

美国司法部表示Paige Thompson,33岁的西雅图科技公司软件工程师,于7月29日被捕,并被指控涉嫌攻击金融公司的数据的计算机欺诈和滥用。

根据路透社的说法,汤普森在西雅图地区法院暂时出现,并被命令被拘留于8月1日在审理处扣留。

据首都第一,在2019年7月19日发现信贷申请中包含的个人数据,两天后,通过公司的负责任的披露计划通过外部安全研究员提醒了配置漏洞。

首都一表示,它立即修复了黑客利用的“配置漏洞”,在不断的基础上增加了常规扫描来寻找这个问题,并迅速开始与联邦执法合作。

“根据我们的分析到目前为止,我们认为,该信息不太可能被这种欺诈或传播的信息,”公司在一份声明中表示。“但是,我们将继续调查。”

据首都一个,没有信用卡账号或登录凭证受到损害,并“超过99%的社会安全号码”并未受到损害。

该公司表示,当他们在2005年和2019年初申请信用卡产品时,与消费者和小企业相关的最大信息。

此信息包括姓名,地址,邮政编码,电话号码,电子邮件地址,出生日期和自我报告的收入。

公开数据还包括信用评分,信用限额,余额,付款历史记录,联系信息,2016年,2016年和2018年23天的交易数据碎片,以及约140,000个社会安全号码。

但是,首都一人称加拿大客户约有一百万的社会保险人数受到损害。

“我们将通过各种渠道通知受影响的习惯,”它说。“我们将为受影响的人提供免费的信用监测和身份保护。”

首都人表示,它在网络安全方面投入了很大的投资,并将继续这样做。“我们将纳入这一事件的学习,以进一步加强我们的网络防御,”它补充道。

虽然首都一个将数据加密为标准,但该公司表示“由于此事件的特殊情况,未经授权的访问也使数据解密”。但是,它补充说,它还将标记应用于所选字段,包括社会安全号码和帐号。

“令牌化涉及通过加密产生的更换替代敏感领域,”它说。“解锁令牌字段的方法和键不同于用于加密数据的方法。象征化数据保持保护。“

首都一个表示脆弱性诊断和固定的速度,并通过其云操作模型实现了其确定的影响。

尽管分辨率的速度速度,但由于与客户通知,信用监测,技术成本和法律支持有关的成本,资本人员预计违约的财务影响将在2019年至1500亿美元之间。

然而,它表示,它携带高达400万美元的保险,以支付与网络风险事件相关的某些成本,但指出“成本的认可时间可能与承认任何保险报销的同时有所不同”。

Cyber​​ Security Securonix的首席科学家Igor Baikalov表示,该事件突出了关注云环境中的安全性的重要性。

据彭博堡说:“这件违规者的犯罪者是迅速的

“首都一个是在金融机构社区的突出公开云的佼佼者,而大多数同龄人通过在私有云周围实施额外的安全控制来围起风险。仅靠这个事实不应被视为采用公共云的挫折。它应该是,而是被视为另一个严厉提醒公共云服务提供商和消费者的第三方安全和内幕威胁计划的重要性。“

Bloomberg Report引用了AWS发言人,如AWS系统中的违规或漏洞无法访问的声明,并指出,法院文件引用了一个错误的防火墙,以实现未经授权的访问。

根据安全公司Darktrace的网络智能总监Justin Fier,据贾斯汀·菲尔(Justin Fier)表示,首都一个违规是云融合的脆弱性融合的典范,这是一个不断的内幕威胁的风险。

“只有在这种情况下,只有威胁来自提供商的威胁,这是一个次要的内幕知识,”他说。“如果我们不能相信我们的合作伙伴所做的员工和程序,那么B2B市场会对B2B市场做些什么?

“当您在别人的服务器上信任您的数据时,您本质上相信公司已聘用的人,就像您自己雇用了他们一样。我们签署云和SaaS [软件作为服务的合同,因为我们将保存所有的资金,因为我们将保存所有的资金,而不会击中眼睑。但是我们是否询问了数据中心管理员通过托管我们的数据的计算机行业行走?我们本质上相信它们。为什么?

“云不会去任何地方,特别是这一事件,特别是不会让每个人都不会让每个人的NAS [网络附加的存储]盒子拆除并回到顶部,但我认为这将唤醒公司来评估风险与云计算相关联。“

菲尔补充说:“虽然犯罪者已经被捕获,但这并不意味着已经阻止了这种数据泄露的影响。看着她可以访问的时间线,此信息可能已经在黑暗的网络上。在新的数字时代,数据是货币,当它落入错误的手中,它可以像整个刑事社区一样传播野火。“

COLIN BASTABLE,反网络钓鱼公司Lucy Security的首席执行官说:“最后,部署了象征,正在做它应该做的事情。好工作,首都一 - 请!“

但是,BASTABRY表示,所有受违规者影响的人及其雇主应确保他们知道如何发现网络钓鱼攻击。“黑暗的网络可能更多地了解北美大多数人的人,而不是他们的政府将公开承认,”他说。“雇主需要通过确保他们的员工是安全意识的”。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章