北京时间8月5日消息,上周,美国银行第一资本金融公司宣布,该公司的系统遭到入侵,导致超过1亿用户的信息披露。
这是历史上最大的银行数据盗窃案件之一,而成功实现这一“成就”的女性似乎利用了云系统中的一个漏洞。
安全专家多年来一直对这个漏洞发出警告。
佩奇·A·汤普森(Paige A.Thompson)是亚马逊云计算部门的前雇员,他于7月29日被捕,并被控大规模盗窃和窃取1.06亿第一资本用户的记录。
First Capital表示,“一个特定的配置漏洞”导致数据被盗。
多年来一直对漏洞发出警告。
根据对汤普森数百条在线信息的媒体分析和对熟悉调查情况的人士的采访,汤普森据称在第一资本系统中发现了一个缺陷,并利用了一些配置错误的网络中的一个弱点。
多年来,安全专家一直对这个漏洞发出警告。
汤普森利用这个漏洞欺骗了云中的系统,并找到了访问大型银行用户记录所需的敏感凭证。
检察官发现了据说是汤普森的在线账户。
她用这些账号在网上发布信息,说她还使用这些入侵技术来访问其他组织的重要网络数据。
这些信息发布在互联网论坛上。
黑客汤普森。
汤普森的律师没有回复评论。
她目前仍被拘留,并将出席8月15日举行的保释听证会。
汤普森这次能够入侵第一资本的系统,最重要的是她显然利用了元数据服务,这是亚马逊云技术的核心部分。
元数据包含管理云服务器所需的凭据和其他数据。
在电脑世界里,这些代金券实际上是银行金库的钥匙。
“敲门”
汤普森的网上帖子显示,她发起入侵攻击的第一步始于今年3月。
她首先在互联网上扫描易受攻击的计算机,以访问公司的内部网络。
事实上,她“敲”了很多公司的“前门”,以找到没有上锁的门。
熟悉调查情况的人士表示,在第一资本数据被盗的过程中,她发现了一台管理公司云与公共网络之间通信的计算机,而且配置错误,这意味着这台计算机存在安全漏洞。
结果,门被打开了。
开门后,她成功申请了从亚马逊云系统中找到并读取第一个资本云存储数据所需的证书,即元数据服务。
凭证存储在元数据服务中。
“伙计们,很多人在这一步做了错误的事情。”
汤普森在6月27日的一条在线信息中说。
她指出,一些公司错误地配置了他们的服务器。
Amazon监控工具失败?
知情人士表示,一旦她找到了第一资本的数据,她就可以下载。
显然,她的入侵并没有引起任何警觉。
亚马逊在一份声明中表示,包括元数据服务在内的所有服务都不是入侵的根本原因,公司已经提供了监测工具来检测此类事件。
不清楚为什么这些报警工具似乎都没有触发第一资本的警钟。
Thompson从元数据服务获取凭据。
美国联邦调查局(FBI)的一份宣誓书显示,第一资本(First Capital)的一个错误导致了入侵。
第一资本表示,公司现在已经解决了分配问题。
一些安全专家表示,亚马逊应该采取更多措施,提醒客户注意这些配置错误。
其他人表示,由于云安全是每个人的共同责任,企业客户也必须尽到自己的一份力。
亚马逊表示,该公司已经引入了一些工具来帮助公司缓解配置疏忽。
这次泄密是在2014年曝光的。
美国检察官表示,汤普森于3月12日发起入侵,但First Capital直到127天后,一名外部研究人员告诉他们,系统已经遭到破坏时,才知道这件事。
亚马逊云安全企业(Amazon Cloud Security Enterprise)顾问斯科特·派珀(Scott Piper)表示,安全专家最晚自2014年以来就知道其中一个配置错误问题,这使得黑客能够从元数据服务窃取凭证。
他说,亚马逊认为,消除这些问题是客户的责任,但一些客户未能解决这些问题。
安全研究人员布伦农·托马斯(Brennon Thomas)在3月份进行了一次互联网扫描,发现超过800个亚马逊账户允许外部访问类似的元数据服务。
亚马逊云计算服务拥有100多万用户