業餘駭客輕易入侵美國大銀行 震驚資安界

（中央社華盛頓31日綜合外電報導）美國第十大銀行第一資本（Capital One）爆發客戶個資大規模外洩事件，目前看來是單一駭客所為。這引發外界對於金融系統安全性和雲端運算面臨的內部人員威脅產生疑慮。

美國聯邦調查局（FBI）29日逮捕33歲的前網路工程師湯普森（Paige Thompson），指控她從第一資本的1億餘份信用卡申請資料竊取個資。截至目前湯普森的動機與資料外洩規模尚未明朗。

第一資本表示，這次約有1億名美國客戶和600萬名加拿大客戶受影響，多達14萬個美國社會安全號碼和100萬個加拿大社會安全號碼外洩。

資安顧問公司丹寧集團（Denim Group）負責人狄克森（John Dickson）說：「最令人震驚的是，這是一樁業餘性質的駭客攻擊。」

狄克森指出，單一駭客就能從如此大型美國金融機構竊取這麼多個資，「這絕對是驚天動地的大事，恐怕會嚴重衝擊社會大眾對銀行體系的信心」。

第一資本這次被駭事件，看來和消費者徵信公司易速傳真（Equifax）、網路巨擘雅虎（Yahoo）及其他美國重大個資被駭事件不同，並非由複雜的民族國家實體發動。

美國當局表示，原任職於亞馬遜公司（Amazon.com）雲端運算部門「亞馬遜網路服務」（AWS）的湯普森，是在軟體分享網站GitHub和推特、Slack等社群平台吹噓自己駭進銀行資料，經人通風報信才被逮捕。

專門研究網路安全的紐約佩斯大學（Pace University）資訊系教授海斯（Darren Hayes）指出，這起事件是由受到信任的員工變成竊資大盜，凸顯「內部人員」的駭客攻擊風險。

海斯表示，「要抓出變壞的好人是項挑戰」，因此許多銀行現在都設法利用人工智慧（AI）來偵測出員工的異常行為。（譯者：紀錦玲/核稿：張正芊）1080731

本網站之文字、圖片及影音，非經授權，不得轉載、公開播送或公開傳輸及利用。