美國銀行Capital One遭駭，逾1億名北美客戶資料外洩

美國銀行Capital One在7月29日證實該行遭到駭客入侵，有一未經授權的駭客利用基礎設施的配置漏洞，存取了逾1億名北美客戶的資料，同一天美國司法部也宣布已逮捕33歲的嫌犯Paige Thompson。

Thompson曾擔任西雅圖一家科技公司的軟體工程師，她在GitHub上宣稱自己從Capital One的伺服器上盜走了使用者資料，有一名看到該資料的GitHub用戶於7月17日向Capital One通報，Capital One在驗證該資料的真實性之後立即聯繫美國聯邦調查局（FBI），FBI便突襲了Thompson的住家，扣押儲存這些資料的裝置，並逮捕Thompson。

根據司法部與Capital One的說明，Thompson是在今年3月22日與3月23日，藉由配置錯誤的網路應用防火牆入侵了Capital One伺服器。

總部位於維吉尼亞州的Capital One為美國第十大銀行業者，主要提供存款、金融、汽車貸款與信用卡業務。此一意外影響了1億名美國使用者與600萬名加拿大使用者。

Capital One表示，駭客所盜走的資料大多數為消費者或小型企業自2005年到2019年的信用卡申請資料，包括姓名、地址、郵遞區號、電話號碼、電子郵件帳號、生日及收入等。另有14萬個美國民眾的社會安全碼與8萬個銀行帳號，以及100萬個加拿大民眾的社會安全碼受到波及。

此外，儘管加密為Capital One的資料處理標準程序，但此一意外的狀況特殊，允許未經授權的存取解密資料，不過除了加密之外，某些資料欄位還經過變造（tokenized），像是社會安全碼與銀行帳號等，此一部份的資料依然受到保護。

經由Capital One迄今的分析，該銀行相信Thompson尚未散布這些盜來的資料，也未將它們用於詐騙。Thompson被指控違反電腦詐欺與濫用法案，最高將面臨5年徒刑與25萬美元的罰款。

Capital One除了已經修補漏洞並通知受影響的使用者之外，估計該意外將招致1~1.5億美元的額外成本，包括通知客戶，提供信用監控，以及技術及法律上的成本。