Capital One 宣布严重违反客户的个人数据,影响了超过 1 亿美国人和另外 600 万加拿大人。
该金融机构指责被 FBI 逮捕并且现在被拘留的“外部个人未经授权的访问”。
“从 2005 年到 2019 年初申请我们的信用卡产品时,获取的最大类信息是关于消费者和小企业的信息,”该公司解释说。
“这些信息包括 Capital One 在收到信用卡申请时经常收集的个人信息,包括姓名,地址,邮政编码 / 邮政编码,电话号码,电子邮件地址,出生日期和自我报告收入。”
然而,该宝库还包括 140,000 个社会安全号码,80,000 个相关银行账号和 100 万个加拿大社会保险号码。
该银行指责可疑攻击者利用的“配置漏洞”,但表示“此类漏洞并非特定于云。
“所涉及的基础设施元素在云和本地数据中心环境中都很常见,” 它补充说。
事实上,根据美国司法部的一份声明,似乎该人是云计算提供商的“前西雅图技术公司软件工程师”,他在 GitHub 上发布了违规细节。
报告显示 ,有问题的人 Paige Thompson 在亚马逊网络服务公司工作。
“这次入侵是通过错误配置的 Web 应用程序防火墙实现的,该防火墙可以访问数据,” 它透露。
“在 2019 年 7 月 17 日,看到该帖子的 GitHub 用户警告 Capital One 可能遭遇数据窃取。在确定 2019 年 7 月 19 日的数据后,Capital One 联系了 FBI。“
一个高科技内幕从客户端窃取高度敏感的客户数据的启示应该不会影响到公共云环境的整体迁移,根据伊戈尔 Baikalov,在首席科学家 Securonix。
“Capital One 通过公共云在金融机构社区中脱颖而出,而大多数同行通过围绕私有云实施额外的安全控制来对冲风险,”他认为。
“仅此事实不应被视为采用公共云的挫折。它应该被视为另一个严厉的提醒,即第三方安全和内部威胁程序对公共云服务的提供者和消费者的重要性。“