美国银行社会安全码SSN泄露,涉上亿账户


来源:红数位    2021-4-7 9:52

美国银行Capital One已经通知了许多其他客户,告知他们的社会安全号码SSN在2019年7月发生的数据泄露中暴露出来。

在美国,社会安全号码[又称社会保障号码](Social Security number,SSN)是发给公民、永久居民、临时(工作)居民的一组九位数字号码,是依据美国社会安全法案(Social Security Act)205条C2中社会安全卡的记载。这组数字由联邦政府社会安全局针对个人发行。社会安全号码主要的目的是为了追踪个人的赋税资料,但近年来已经实际上成为美国的个人身份识别符(类似大陆身份证,具有唯一性)。

按说这事是个老事情,为什么到现在银行才通知用户出问题了呢?往下看。

一名正在使用“不稳定”句柄上线的黑客入侵了Capital One的系统,并从1.06亿个Capital One信用申请中获取了个人信息。

执法部门因安全漏洞而逮捕了黑客佩奇·汤普森(Paige A.Thompson)。

佩奇·汤普森(Paige A.Thompson)是前Amazon Web Services软件工程师,曾于2015年至2016年为Capital One承包商工作。THOMPSON在GitHub上发布了有关Capital One黑入的文章,她利用配置错误的Web应用程序防火墙来访问数据。在2019年7月17日,看到该帖子的GitHub用户将这件事通知了Capital One,2019年7月19日,该金融机构发现了入侵并通知了FBI。

Capital One立即修复了黑客利用的配置问题。佩奇·汤普森(Paige A.Thompson)在西雅图美国地方法院被控计算机欺诈和滥用。当时安全漏洞数据泄露发生在2019年3月22日至23日,黑客访问了2005年至2019年之间申请信用卡的客户的信息。

“根据我们迄今为止的分析,此事件影响了美国约1亿个人和加拿大约600万人。”Capital One发布的新闻稿表示(目前已删除,原因未知)。“重要的是,没有信用卡帐号或登录凭据受到损害,并且超过99%的社会安全号码也没有受到损害。”“从2005年到2019年初,从消费者和小型企业申请我们的一种信用卡产品之时起,获得的最大信息类别就是有关消费者和小型企业的信息。”

公开的数据包括:

  • 姓名
  • 地址
  • 邮政编码
  • 电话号码
  • 电子邮件地址
  • 出生日期
  • 收入报告

攻击者还获得了部分信用卡客户数据,包括:

  • 客户状态数据,例如信用评分,信用额度,余额,付款历史,联系信息
  • 2016年,2017年和2018年共23天的交易数据片段

黑客仅针对有限数量的客户访问了银行帐号和社会安全号码:

  • 信用卡客户约有14万个社会保险号
  • 担保信用卡客户大约有80000个关联的银行帐号

对了,之前Capital One一直没提到SSN社会安全码被泄露,现在,Capital One在第三方专家的帮助下分析2019年安全漏洞期间被盗的数据时,发现入侵者可以访问这些客户的SSN社会安全码,所以才下发了通知。

美国银行社会安全码SSN泄露,涉上亿账户

“最近,Capital One使用新的和更高级的工具重新检查了受2019年数据安全事件影响的文件。作为此分析的一部分,我们确定您的社会安全号码是未经授权被访问的数据之一。”银行发送给受影响客户的信上写道。

Capital One估计数据泄露的总体经济影响在1到1.5亿美元之间。

2020年,第一资本被罚款未能保护其客户数据而被罚款(OCC)8000万美元。

关于本站联系我们手机版
Copyright © 2021 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号