您的位置:首页>>互联网

1亿银行用户信息失窃之谜

发布时间:2019-08-05 10:43:29  来源:IT之家    背景:

  (原标题:1亿银行用户信息失窃之谜:黑客是怎么找到漏洞的?)

  上周,美国银行第一资本金融公司宣布,公司系统遭到入侵,导致逾1亿用户信息泄露。

  这是史上规模最大的银行数据失窃案之一,成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞,安全专家们已经警告了多年。

  佩姬·A·汤普森(Paige A. Thompson)曾经是亚马逊公司云计算部门的一名员工,她在7月29日被捕,被指控实施了大规模盗窃案,窃取了1.06亿第一资本用户的记录。第一资本表示,“一个特定配置漏洞”导致了数据被盗。

  警告多年的漏洞

  根据媒体对汤普森的数百条在线信息的分析以及对熟悉调查的知情人士的采访,汤普森据称找到了第一资本系统中的一个漏洞,利用了一些配置错误的网络中的一个弱点。多年来,安全专家已经就这一漏洞发出了警告。汤普森正是利用这一漏洞骗过了云端的一个系统,找到了供她访问庞大银行用户记录所需要的敏感凭证。

  检察官找到了据称是汤普森的网络账号。她利用这些账号发布在线信息称,自己还运用这些入侵技术访问其他机构的重要网络数据。这些信息被发布在网络论坛上。

  汤普森的律师尚未回复置评。她目前依旧被拘留,将于8月15日出席保释听证会。

  汤普森此次之所以能够入侵第一资本的系统,最重要的就是她显然利用上了亚马逊云技术的核心部分——元数据服务。元数据包含了管理云端服务器所需要的凭证和其他数据。在计算机世界里,这些凭证实际上相当于银行金库的钥匙。

  “敲门”

  汤普森发布的网络帖子显示,她发动此次入侵攻击的第一步始于今年3月份。她先扫描互联网寻找易受攻击的计算机,从而访问一家公司的内部网络。实际上,她“敲”了许多公司的“前门”,目的就是寻找未上锁的门。

  熟悉调查的知情人士称,在第一资本数据失窃案中,她找到了一台管理公司云端和公共网络之间通讯,而且配置错误的计算机,也就是说这台计算机存在安全设置弱点。于是,门被打开了。

  在门被打开后,她成功申请了从亚马逊云端的一个系统寻找和读取第一资本云存储数据所需要的凭证,也就是元数据服务。凭证就存储在元数据服务里。

  “伙计们,许多人在这一步上都做错了。”汤普森在6月27日的在线信息中称。她指的是一些公司错误配置了他们的服务器。

  亚马逊监控工具失灵?

  知情人士称,一旦她找到了第一资本的数据,她就能够下载下来。显然,她的入侵没有触发任何警报。

  亚马逊在一份声明中称,公司的所有服务,包括元数据服务,都不是这次入侵事件的根本原因,公司已经提供了旨在检测此类事故的监控工具。目前还不清楚为何这些报警工具似乎均未触发第一资本的警报铃。

 

  ▲汤普森从元数据服务中获取凭证

  美国联邦调查局(FBI)的一份宣誓书显示,第一资本的一个错误导致了入侵事件的发生。第一资本称,公司现在已经修复了配置问题。

  一些安全专家称,亚马逊应该在这些配置错误上采取更多措施来警告其客户。其他人则表示,鉴于云安全是大家共同的责任,企业客户也必须做好自己的本分工作。亚马逊已表示,公司推出了多款工具来帮助企业缓解配置上的疏忽。

  漏洞在2014年就已曝光

  美国检察官称,汤普森从3月12日启动了她的入侵行动,但是第一资本一直浑然不知,直到127天后一位外部研究人员告知他们才发现系统遭到入侵。

  亚马逊云安全企业顾问斯科特·皮珀(Scott Piper)称,最晚从2014年以来,安全专家就已经知道了这些错误配置问题中的一种,它允许黑客从元数据服务中窃取凭证。他表示,亚马逊认为根除这些问题是客户的责任,但是一些客户未能解决问题。

  安全研究人员布莱南·托马斯(Brennon Thomas)在3月份实施了一次互联网扫描,发现逾800个亚马逊账号允许外部进行类似的元数据服务访问。亚马逊云计算服务拥有100多万用户。

  托马斯称,配置错误的服务器导致外部人士访问敏感元数据,这个问题并不局限于亚马逊AWS云计算服务。他的测试还发现,运行在微软云端的系统也存在问题。微软尚未置评。

  注重云安全依旧遭入侵

  对于一些研究人员来说,第一资本成为黑客入侵的受害者令人意外。第一资本管理人员称,在2015年决定拥抱云服务以前,公司进行了大量尽职调查。“在云安全业内人士眼里,第一资本非常注重云安全,拥有业内最强大的安全团队之一。”皮珀称。

  第一资本数据泄露事件并不是第一次存储在云端的数据被盗。但是,作为美国第五大信用卡发卡商,第一资本遭入侵再次让外界对云计算的安全产生担忧。第一资本是云计算的早期采用者,被列为亚马逊AWS网站上的一个案例研究。

  美联储并未受到此次攻击事件的波及。据媒体报道,美联储一直在审视使用云系统存储敏感财政记录一事。

  汤普森在一个帖子中暗示,她还尝试利用这一技术入侵其他公司的云计算账号,包括意大利联合信贷银行(UniCredit SpA)和福特汽车。联合信贷银行和福特均表示,他们正在调查这一事件。FBI还启动了对其他目标的调查,他们怀疑这些目标可能也遭到了汤普森的攻击。

  如果汤普森不在网上发布她的入侵细节,她的行动被发现可能还需要远远更长的时间。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:IT之家

本文评论
友情提示:评论功能暂时关闭,请扫描上方二维码进群交流!
线下数据赋能实体经济,众盟如何引领数字化新浪潮?
“谁掌握了数据,谁就掌握了主动权。”顶层设计的振臂高挥,使得数据被各行各业奉为圭臬...
日期:08-21
百度大脑正式发布智能视频监控开发平台 零门槛接入 半小时完成部署
引言:工人在厂区的着装是否合规?学生在课堂的学习注意力是否集中?厂区如果发生火情,如何第一时间...
日期:08-21
绿色节能,打造服务器可持续发展之路
“侬会垃圾分类了伐?”近期上海的垃圾分类无疑是最热的话题之一,无论是精明的阿姨,还是...
日期:08-21
“存量市场”即将到来,弹个车瞄准下沉市场小镇青年
回顾2018年,对于汽车行业可以说是寒冬年,基本上可以用四个字形容——哀鸿遍野。2018年...
日期:08-21
吴亦凡户籍信息只要50元?腾讯手机管家盘点3大信息泄露途径
近日,《陈情令》中蓝忘机扮演者王一博发微博称:“别再给我打电话了 别再用我手机号去登录软...
日期:08-21
免填邀请码:高效提高App推广效率
App 邀请机制是每个产品几乎必做的功能点,它一般以两种形式存在:一是作为常置功能用于推荐,二是...
日期:08-21
如何买到放心二手车?大搜车家选为市场提供新模板
汽车市场长达28年之久的上涨局面在去年被打破,也就是从去年开始汽车市场上的新车开始出现卖不动的...
日期:08-21
百度智能云携手头部商业银行,区块链技术落地金融行业
近期,百度智能云区块链团队取得新的突破,“金融级联盟链治理平台”与浦发银行进行深度...
日期:08-21
XSKY中标2019央采
日前,中央国家机关2019年软件协议供货采购项目正式发布中标公告,XSKY两款SDS产品成功入围。
日期:08-21
百度2019Q2财报:数据背后,智能小程序“新连接”势能强劲
2019年Q2财报季来了,百度的财报如期而至。
  眼花缭乱的各项数据中,百度董事长兼CEO李彦宏...
日期:08-21
百度和腾讯财报背后的故事:移动互联网老去,小程序互联网已至
8 月 20 日,百度公布了备受关注的 2019 年第二季度财报。本季度,百度实现营收 263 亿元人民币,环...
日期:08-21
高层集结,共探数据引力场,2019帆软智数大会盛大举行!
8月15-17日,2019年帆软智数大会在南京国际青年会议中心盛大举行。筹备了5个月之久的智数大会获得了...
日期:08-21
如何在业务高峰中轻松“躺赢”?华为云MySQL为你支招
业务大促,订单暴增,网站流量暴涨几倍,数据库服务器容量又要扛不住了,眼睁睁看着生意白白溜走,...
日期:08-21
“网龙杯”双创大赛引领数字教育人才培养创新发展
2019年8月19-20日,“网龙杯”第五届福建省“互联网+”大学生创新创业大赛省级...
日期:08-21
14支初中生团队入围小程序编程创意营决赛名单,小程序成编程教育优质工具
8月20日,首届全国青少年微信小程序编程创意营入围名单公布,由39名初中生组成的14支小程序员队伍进...
日期:08-21
王者荣耀暑期档活动来袭 来电科技联动多品牌打造开黑圣地
7月30日至9月20日,王者荣耀暑期“年少轻狂不惧浪”的青春主题上线,来电科技携手《王者...
日期:08-21
2019CIPE深圳国际潮玩展即将开幕,叮叮抓娃娃受邀参展
由中国版权保护中心指导,广东省文化经济发展研究会、深圳市版权协会、深圳前域文化科技有限公司联...
日期:08-21
再登《新闻联播》  讯飞智能办公本创新功能引关注
8月14日,央视《新闻联播》报道了国务院新闻办公室举办的“庆祝建国70周年”系列新闻发布...
日期:08-20
美媒:华为帮非洲国家政府搞监控 外交部回应情况不实
  (原标题:美媒说华为帮非洲国家政府搞监控 外交部:报道水准令人堪忧)
日期:08-20
  专栏介绍
海露 的专栏
海露发表的文章
积分:
自我介绍 :