美国银行社会安全码SSN泄露,涉上亿账户
美国银行Capital One已经通知了许多其他客户,告知他们的社会安全号码SSN在2019年7月发生的数据泄露中暴露出来。
在美国,社会安全号码[又称社会保障号码](Social Security number,SSN)是发给公民、永久居民、临时(工作)居民的一组九位数字号码,是依据美国社会安全法案(Social Security Act)205条C2中社会安全卡的记载。这组数字由联邦政府社会安全局针对个人发行。社会安全号码主要的目的是为了追踪个人的赋税资料,但近年来已经实际上成为美国的个人身份识别符(类似大陆身份证,具有唯一性)。
按说这事是个老事情,为什么到现在银行才通知用户出问题了呢?往下看。
一名正在使用“不稳定”句柄上线的黑客入侵了Capital One的系统,并从1.06亿个Capital One信用申请中获取了个人信息。
执法部门因安全漏洞而逮捕了黑客佩奇·汤普森(Paige A.Thompson)。
佩奇·汤普森(Paige A.Thompson)是前Amazon Web Services软件工程师,曾于2015年至2016年为Capital One承包商工作。THOMPSON在GitHub上发布了有关Capital One黑入的文章,她利用配置错误的Web应用程序防火墙来访问数据。在2019年7月17日,看到该帖子的GitHub用户将这件事通知了Capital One,2019年7月19日,该金融机构发现了入侵并通知了FBI。
Capital One立即修复了黑客利用的配置问题。佩奇·汤普森(Paige A.Thompson)在西雅图美国地方法院被控计算机欺诈和滥用。当时安全漏洞数据泄露发生在2019年3月22日至23日,黑客访问了2005年至2019年之间申请信用卡的客户的信息。
“根据我们迄今为止的分析,此事件影响了美国约1亿个人和加拿大约600万人。”Capital One发布的新闻稿表示(目前已删除,原因未知)。“重要的是,没有信用卡帐号或登录凭据受到损害,并且超过99%的社会安全号码也没有受到损害。”“从2005年到2019年初,从消费者和小型企业申请我们的一种信用卡产品之时起,获得的最大信息类别就是有关消费者和小型企业的信息。”
公开的数据包括:
- 姓名
- 地址
- 邮政编码
- 电话号码
- 电子邮件地址
- 出生日期
- 收入报告
攻击者还获得了部分信用卡客户数据,包括:
- 客户状态数据,例如信用评分,信用额度,余额,付款历史,联系信息
- 2016年,2017年和2018年共23天的交易数据片段
黑客仅针对有限数量的客户访问了银行帐号和社会安全号码:
- 信用卡客户约有14万个社会保险号
- 担保信用卡客户大约有80000个关联的银行帐号
对了,之前Capital One一直没提到SSN社会安全码被泄露,现在,Capital One在第三方专家的帮助下分析2019年安全漏洞期间被盗的数据时,发现入侵者可以访问这些客户的SSN社会安全码,所以才下发了通知。
“最近,Capital One使用新的和更高级的工具重新检查了受2019年数据安全事件影响的文件。作为此分析的一部分,我们确定您的社会安全号码是未经授权被访问的数据之一。”银行发送给受影响客户的信上写道。
Capital One估计数据泄露的总体经济影响在1到1.5亿美元之间。
2020年,第一资本被罚款未能保护其客户数据而被罚款(OCC)8000万美元。