多家企業遭亞馬遜(Amazon)前員工入侵,並利用公司電腦的運算能力盜挖加密貨幣。
美國司法部(DOJ)昨日公佈了美國金融集團第一資本(Capital One)的個資盜竊案起訴書,來自電商巨頭 Amazon 的前員工佩吉.湯普森(Paige Thompson),在今年 3 月到 7 月間入侵高達 30 多家公司的伺服器,並透過訪問權限盜挖加密貨幣。
據第一資本在 7 月發佈的聲明顯示,證實了該公司存放的高達 1 億 600 萬筆客戶個資,包括用戶的姓名、地址,還有多筆社會安全碼、銀行帳號、信用額度等多項資料遭到外洩;所幸,駭客並未能取得用戶的信用卡號碼,第一資本也表示他們認為資料並沒有被盜用的疑慮。
儘管起訴書上並未透露駭客是經由何處盜取用戶資料,但有提及是來自一家「雲端運算公司」;有鑒於湯普森曾在 Amazon 工作,且第一資本的用戶資料也是存放在 Amazon 的亞馬遜網絡服務(AWS)雲端運算平台,因此遭 AWS 的安全性又再度遭到外界高度質疑。
起訴書上寫道,湯普森在「雲端運算公司」租用的伺服器上配置錯誤的網站應用程式防火牆,再透過獲取公司內部的電腦登入權限來取得電腦控制權,甚至還建立了一個掃瞄器來辨識被他利用的公司。
而除了盜取數據外,她還利用電腦的運算能力來挖取加密貨幣,不過目前起訴書上並沒有公佈湯普森盜取的加密貨幣金額。
據科技媒體《TNW》報導,湯普森還大肆在 GitHub 上向其他用戶吹噓她的豐功偉業,並聲稱她將很快開始僱用員工,進入她的「加密貨幣劫持(cryptojacking)企業」。
然而,在湯普森不斷盜取個資的同時,她的朋友也將她的犯罪事實一一透露給第一資本,該公司遂與美國聯邦調查局(FBI)合作,才讓這件事曝光。
另外,雖然檢方並沒有完整公布其餘 30 家機構的資料,但有稍微透露其中 3 家受害單位分別為一個國家機構、一家電信集團,還有一所國立的研究大學;據《富比世》調查,很有可能是美國俄亥俄州的運輸部、英國的電信公司沃達豐(Vodafone)和密西根州立大學,但消息並未被證實。
如今,湯普森遭到美國聯邦陪審團以電匯詐欺和竊取電腦資料等罪名起訴,將在 9 月 5 日於美國西雅圖地方法院開庭,最重可處 25 年的刑期。
?相關報導?
英國一名 19 歲駭客「竊個資賺比特幣」,現在被判刑 20 個月
門羅幣錢包發現漏洞,讓駭客可以「燒毀」服務提供者的門羅幣,目前已被修復
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
