當?shù)貢r間周一晚上,CapitalOne及其客戶得到了一些非常糟糕的消息。該公司遭遇大規(guī)模數(shù)據(jù)泄露事件,大約1億美國和加拿大用戶的社會安全號碼和帳戶詳細信息遭泄露。紐約州司法部長已經(jīng)宣布對CapitalOne的泄露事件展開調(diào)查,但更廣泛的故事是熟悉的:一家大公司讓許多敏感數(shù)據(jù)丟失,客戶承擔了大部分風險。
然而隨著對該事件的調(diào)查越深入,外媒發(fā)現(xiàn)的疑點就越多。被指控的黑客PaigeThompson(又稱“Erratic”),在數(shù)據(jù)泄露事件公開的同時被抓獲并被起訴,她似乎對覆蓋她的蹤跡并感興趣。人們并不確切知道她在獲得數(shù)據(jù)后對數(shù)據(jù)做了什么,但她不符合大多數(shù)詐騙者的情況,他們傾向于盡快在暗網(wǎng)等出售這樣的信息。與此同時,最初的漏洞似乎更多的是服務器錯誤配置,而不是完全是漏洞引起,導致一些人懷疑Thompson是否可能是一個善意的研究人員。
最大的異常是如何首先發(fā)現(xiàn)漏洞。根據(jù)聯(lián)邦投訴,攻擊分別于2019年3月和4月分階段進行。但是,CapitalOne在7月17日才知道這個問題,當時有人向該公司透露他們的私人數(shù)據(jù)已上傳到公共GitHub頁面。從那里開始,研究人員可以直接發(fā)現(xiàn)它的頁面以及數(shù)據(jù)是如何被獲取的。
通常情況下,數(shù)據(jù)僅在通過多個中介后才被發(fā)現(xiàn),并且很難確切地確定數(shù)據(jù)的確切時間和方式。例如,調(diào)查人員需要花費數(shù)年時間才能找到參與Target數(shù)據(jù)泄露事件的所有人。起訴揭示了一種完全不同的組織形式:一方制造軟件,另一方使用它來收集信用卡數(shù)據(jù),然后將其賣給另一個使用它進行欺詐的團體。起訴所有這些人意味著以拉脫維亞和東歐為中心的大規(guī)模國際努力。相比之下,Thompson在最初提示后不到一個月就被拘留了。
人們不知道為什么Thompson決定在公共GitHub頁面上發(fā)布數(shù)據(jù)。她在Twitter上公開描述了她的技術(shù),并且似乎并不羞于分享信息。其余部分信息則來自Thompson維護的Slack房間,Thompson圍繞這個漏洞的談話非常隨意。
“我想把它從我的服務器上刪除,這就是為什么我要歸檔所有這些,”Thompson寫道。“這都是加密的。不過,我只是不想要它。“涉及攻擊的技術(shù)細節(jié)使其更加復雜。Thompson所做的只是可能的,因為CapitalOne錯誤配置了其亞馬遜服務器。Thompson早些時候曾在亞馬遜工作過,所以她被一些人描述為“內(nèi)部威脅”。但是發(fā)現(xiàn)這種錯誤配置對于安全研究人員來說是一種常見的消遣方式。這些錯誤配置是如此常見且如此容易修復,以至于它們通常甚至不被視為泄露。
外媒認為從外部很難區(qū)分安全研究與犯罪產(chǎn)業(yè)之間的區(qū)別。人們也并不不知道為什么她獲取這些數(shù)據(jù),或者為什么她堅持幾個月而沒有向CapitalOne報告這個問題。人們也不知道她是否試圖以某種方式報告,或者她是否試圖以尚未曝光的方式從數(shù)據(jù)中獲利。