Capital One 客户数据的大规模泄露已经影响到 1 亿多美国用户及 600 万加拿大用户。

由于云错误配置，黑客能够能够轻易地连接到信贷服务应用，获取用户的社会安全号码和银行账号，这是有史以来金融服务公司遭遇的最大数据泄露事件之一，在规模上与 2017 年的 Equifax 事件不相上下。

美国联邦调查局已经逮捕了此案的一名嫌疑人：亚马逊网络服务 (AWS) 的前工程师佩吉·汤普森，此前她曾在 GitHub 上吹嘘自己的数据被盗。

根据在华盛顿联邦检察官办公室西区提交的一份刑事诉状，该入侵发生在 3 月 19 日至 7 月 17 日之间，通过一个「配置错误的 web 应用程序防火墙」。

这些非法访问的数据存储在从 AWS 租用的云服务器上，主要与 2005 年至 2019 年初消费者和企业的信用卡应用程序有关。

这些信息包括大量的个人信息，如姓名、地址和出生日期；以及财务信息，包括自我报告的收入和信用评分。

Capital One 表示，没有信用卡账号或登录凭证受到攻击，只有大约 14 万个社会安全号码受到影响，这意味着「99% 以上的社会安全号码」没有受到影响。

在加拿大，大约有 100 万个社会保险号码被泄露。

曝光的数据还包括 2016 年、2017 年和 2018 年 23 天的信用评分、信用额度、余额、支付历史、联系方式和交易数据片段。

Capital One 首席执行官理查德·费尔班克 (Richard Fairbank) 在一份声明中表示:「我真诚地为这起事件引发的担忧道歉，这种担忧是可以理解的，我一定会纠正这种担忧。

」该公司补充称，它已修复了所谓的「配置漏洞」，而且「这些信息不太可能被用于欺诈或由此人传播」——不过调查仍在进行中。

该公司已承诺对受影响者进行信用监控，但反网络钓鱼公司 Lucy Security 的首席执行官科林·巴斯塔布尔 (Copn Bastable) 表示，Capital Bank 等银行及其员工应在事件发生后采取更多行动，以发现潜在的网络钓鱼攻击。

巴斯塔布在一份电子邮件声明中解释说:「在长达 12 个月的信用监测结束后，Capital One 的受害者将在未来数年内被『捕捞』。

」「黑色网络对大多数北美人的了解可能比他们的政府公开承认的要多。

雇主需要通过确保员工有安全意识来保护自己。

」嫌疑人汤普森在网络对话中使用了「erratic」的化名，据称他在 GitHub 和社交媒体上多次发布了有关盗窃的信息。

一个用户名为「erratic」的推特账号上的帖子写道:「我基本上是把自己绑在炸弹背心上，F*cking 该死的 CapitalOne，兵承认是自己做的。

」Capital One 遭黑客入侵的消息传出之前，美国信用监测机构 Equifax 上周同意支付至多 7 亿美元，以解决 2017 年发生在该公司的一起类似事件。

那次事件影响了近 1.5 亿客户。

亚马逊方面则指出，法庭文件和 Capital One 的声明承认存在配置错误。

该公司发言人对彭博社 (Bloomberg) 表示，Capital One 的数据不是通过 AWS 系统的漏洞访问的。

「Capital One 的入侵证明，企业在有效部署安全技术方面还有很多需要学习的地方，」Immersive Labs 首席执行官詹姆斯·哈德利 (James Hadley) 通过电子邮件表示。

从他们对这次入侵的描述来看，你会认为这是一个利用漏洞的精英黑客，这是情有可原的。

事实上，正如联邦调查局所说，只是一个配置不良的防火墙允许黑客进入。

」Darktrace 网络情报总监贾斯汀·菲尔 (Justin Fier) 也同意了巴斯塔布的警告，他表示，抓捕行凶者——如果她被证明有罪——并不能保证数据尚未进入黑暗网络。

「在新的数字时代，数据就是货币，一旦落入不法之徒之手，它就会像野火一样在犯罪团伙中蔓延，」费伊尔补充说。