您的位置:首页>>互联网

1亿银行用户信息失窃之谜

发布时间:2019-08-05 10:43:29  来源:IT之家    背景:

  (原标题:1亿银行用户信息失窃之谜:黑客是怎么找到漏洞的?)

  上周,美国银行第一资本金融公司宣布,公司系统遭到入侵,导致逾1亿用户信息泄露。

  这是史上规模最大的银行数据失窃案之一,成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞,安全专家们已经警告了多年。

  佩姬·A·汤普森(Paige A. Thompson)曾经是亚马逊公司云计算部门的一名员工,她在7月29日被捕,被指控实施了大规模盗窃案,窃取了1.06亿第一资本用户的记录。第一资本表示,“一个特定配置漏洞”导致了数据被盗。

  警告多年的漏洞

  根据媒体对汤普森的数百条在线信息的分析以及对熟悉调查的知情人士的采访,汤普森据称找到了第一资本系统中的一个漏洞,利用了一些配置错误的网络中的一个弱点。多年来,安全专家已经就这一漏洞发出了警告。汤普森正是利用这一漏洞骗过了云端的一个系统,找到了供她访问庞大银行用户记录所需要的敏感凭证。

  检察官找到了据称是汤普森的网络账号。她利用这些账号发布在线信息称,自己还运用这些入侵技术访问其他机构的重要网络数据。这些信息被发布在网络论坛上。

  汤普森的律师尚未回复置评。她目前依旧被拘留,将于8月15日出席保释听证会。

  汤普森此次之所以能够入侵第一资本的系统,最重要的就是她显然利用上了亚马逊云技术的核心部分——元数据服务。元数据包含了管理云端服务器所需要的凭证和其他数据。在计算机世界里,这些凭证实际上相当于银行金库的钥匙。

  “敲门”

  汤普森发布的网络帖子显示,她发动此次入侵攻击的第一步始于今年3月份。她先扫描互联网寻找易受攻击的计算机,从而访问一家公司的内部网络。实际上,她“敲”了许多公司的“前门”,目的就是寻找未上锁的门。

  熟悉调查的知情人士称,在第一资本数据失窃案中,她找到了一台管理公司云端和公共网络之间通讯,而且配置错误的计算机,也就是说这台计算机存在安全设置弱点。于是,门被打开了。

  在门被打开后,她成功申请了从亚马逊云端的一个系统寻找和读取第一资本云存储数据所需要的凭证,也就是元数据服务。凭证就存储在元数据服务里。

  “伙计们,许多人在这一步上都做错了。”汤普森在6月27日的在线信息中称。她指的是一些公司错误配置了他们的服务器。

  亚马逊监控工具失灵?

  知情人士称,一旦她找到了第一资本的数据,她就能够下载下来。显然,她的入侵没有触发任何警报。

  亚马逊在一份声明中称,公司的所有服务,包括元数据服务,都不是这次入侵事件的根本原因,公司已经提供了旨在检测此类事故的监控工具。目前还不清楚为何这些报警工具似乎均未触发第一资本的警报铃。

 

  ▲汤普森从元数据服务中获取凭证

  美国联邦调查局(FBI)的一份宣誓书显示,第一资本的一个错误导致了入侵事件的发生。第一资本称,公司现在已经修复了配置问题。

  一些安全专家称,亚马逊应该在这些配置错误上采取更多措施来警告其客户。其他人则表示,鉴于云安全是大家共同的责任,企业客户也必须做好自己的本分工作。亚马逊已表示,公司推出了多款工具来帮助企业缓解配置上的疏忽。

  漏洞在2014年就已曝光

  美国检察官称,汤普森从3月12日启动了她的入侵行动,但是第一资本一直浑然不知,直到127天后一位外部研究人员告知他们才发现系统遭到入侵。

  亚马逊云安全企业顾问斯科特·皮珀(Scott Piper)称,最晚从2014年以来,安全专家就已经知道了这些错误配置问题中的一种,它允许黑客从元数据服务中窃取凭证。他表示,亚马逊认为根除这些问题是客户的责任,但是一些客户未能解决问题。

  安全研究人员布莱南·托马斯(Brennon Thomas)在3月份实施了一次互联网扫描,发现逾800个亚马逊账号允许外部进行类似的元数据服务访问。亚马逊云计算服务拥有100多万用户。

  托马斯称,配置错误的服务器导致外部人士访问敏感元数据,这个问题并不局限于亚马逊AWS云计算服务。他的测试还发现,运行在微软云端的系统也存在问题。微软尚未置评。

  注重云安全依旧遭入侵

  对于一些研究人员来说,第一资本成为黑客入侵的受害者令人意外。第一资本管理人员称,在2015年决定拥抱云服务以前,公司进行了大量尽职调查。“在云安全业内人士眼里,第一资本非常注重云安全,拥有业内最强大的安全团队之一。”皮珀称。

  第一资本数据泄露事件并不是第一次存储在云端的数据被盗。但是,作为美国第五大信用卡发卡商,第一资本遭入侵再次让外界对云计算的安全产生担忧。第一资本是云计算的早期采用者,被列为亚马逊AWS网站上的一个案例研究。

  美联储并未受到此次攻击事件的波及。据媒体报道,美联储一直在审视使用云系统存储敏感财政记录一事。

  汤普森在一个帖子中暗示,她还尝试利用这一技术入侵其他公司的云计算账号,包括意大利联合信贷银行(UniCredit SpA)和福特汽车。联合信贷银行和福特均表示,他们正在调查这一事件。FBI还启动了对其他目标的调查,他们怀疑这些目标可能也遭到了汤普森的攻击。

  如果汤普森不在网上发布她的入侵细节,她的行动被发现可能还需要远远更长的时间。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:IT之家

本文评论
百度【智能小程序开发者抗疫联盟】全面扩招,优秀开发者最高可获得奖励150万元!
疫情之下,人们衣食住行的各个方面均受到不同程度的影响。抗击疫情由此成为一场全面、长期的全民战...
日期:02-25
武汉嫂子,菜来了……本来生活@你
前两天,一位#武汉嫂子#教科书式怒怼的视频火了。
日期:02-25
vivo天猫超级品牌日重磅来袭,iQOO3抢先买!
2月25日,iQOO在年后首场发布会上正式推出了年度旗舰iQOO 3,并且将于3月2日全网正式开售。
日期:02-25
员工在家办公毁掉公司数据,微盟公司市值一天蒸发 9 亿港元
2月25日消息,港股上市公司微盟集团今日在港交所公告称,SAAS业务数据遭到一名员工“人为破坏&...
日期:02-25
家用投影仪怎么选?性价比颇高的当贝投影D1怎么样?
随着时代的发展,虽然电视也在不断地进步发展,完成了传统电视到智能电视的转变,但是电视一直存在的一...
日期:02-25
探营北京市朝阳区集中隔离点:24小时值守 机器人送餐
“您好,您的餐食在第一层,请取餐。”2月25日中午,位于北京市朝阳区的某集中医学隔离点...
日期:02-25
华为、苹果、OPPO、vivo 等全面响应苏宁24期免息
2月24日晚,苏宁易购召开线上发布会,宣布27日起,将联合家电、家装、3C等品类品牌,全场景推出&ldq...
日期:02-25
全友、顾家家居、喜临门等全面响应苏宁24期免息
2月24日,包括喜临门、雅兰床垫、全友、顾家家居、鹰牌陶瓷、多乐士、三棵树、万家乐、万和、箭牌、...
日期:02-25
智齿客服赋能5大行业,用AI筑起防疫长城
武汉封城,各地戒严,疫情让全国人民进入紧急状态,尤其是政府、医疗等处在防疫战场最前线的行业。智齿...
日期:02-25
“宅经济”、“无接触服务”兴起,苏宁智慧零售玩转消费新方式
受新冠肺炎疫情的影响,“宅”成为了当下全国居民生活最普遍的生活状态。“宅经济&r...
日期:02-25
华为云携手五所高校,启动鲲鹏计算HCIA在线课程
2月24日,全国首个鲲鹏计算HCIA在线孵化营在成都正式启动。本次孵化营由天府新区成都管委会、华为公...
日期:02-25
英超大咖聚首为中国加油,背后原来是PP体育的硬核操作
疫情阻碍了人们的正常出行,但无法削减足球带来的精彩和温情。近日,英超官方特意为中国球迷录制助威...
日期:02-25
远程办公时期,这些公司为什么都选择了飞书?
自从企业开启远程办公模式以来,这段时间,网上有关钉钉、飞书、企业微信的热议不断。不少网友发出...
日期:02-25
Skullcandy推出“热情粉“限量套装,带你遵循内心的声音
历时十一个月,每月一种配色、一位合作音乐人与运动员、一套限定耳机套装,Skullcandy的12 Moods企...
日期:02-25
苏宁推24期免息,苹果华为联想等3C大牌响应
2月24日晚,苏宁易购召开线上直播发布会,侯恩龙宣布自2月27日开始,苏宁将全面联合家电、家装、手...
日期:02-25
首批“无接触”餐厅落地 餐饮业试水送餐机器人自主配送
近日,全国各地陆续迎来返工潮,如何放心吃饭成了许多人关心的新话题。为了尽可能满足疫情期间消费...
日期:02-25
Tmall China Cool时装秀再现 天猫国潮来了传递中国品牌时尚态度
国潮崛起正在成为中国时尚的代名词,除了常驻时装周的华人设计师品牌数量逐年上升,越来越多的中国...
日期:02-25
华云数据安超云一体机为协和武汉红十字会医院提供云助力
新型冠状病毒肺炎疫情发生以来,全国上下齐心战疫,科技企业也积极投身疫情防控主战场,不仅持续为...
日期:02-25
苏宁与美的、华为、苹果等家电3C品牌“云签约”
“2月27日起,苏宁将全面联合家电、家装、电脑、手机等品类品牌,线上线下推出‘购家电家...
日期:02-25
极光:城市居民置业图鉴2020
极光(Aurora Mobile, NASDAQ:JG)发布《城市居民置业图鉴2020》,回顾2019年全国房市表现,洞悉城市...
日期:02-25
  专栏介绍
海露 的专栏
海露发表的文章
积分:
自我介绍 :