联邦检察官本周透露,Capital One的1亿多名客户的个人信息遭到了黑客攻击,而且受害者也无法保护自己,东北大学计算机科学副教授威廉罗伯逊说。
“在申请信贷时,大多数人会相信Capital One这样的大银行不会对他们的个人数据处理不当,”罗伯逊说。
Khoury计算机科学学院副教授William Robertson专注于操作系统、移动设备和web的安全改进。照片由Mariah Tauger/东北大学拍摄
这起盗窃案是一家银行遭受的最严重的网络安全漏洞之一。西雅图一名33岁的软件工程师佩吉·汤普森(Paige Thompson)已被逮捕,并被控窃取信用卡应用程序和其他信息长达15年之久。
Capital One在7月17日接到线人的入侵警告后表示,它“立即修复了配置漏洞”。
Capital One补充称:“我们认为,这些信息不太可能被用于欺诈。”
罗伯逊断言,这对消费者来说几乎没有什么安慰作用,因为在日益脆弱的网络世界中,他们不再确定该相信谁。
人们可以做些什么来保证他们的信息安全?
消费者首先应该意识到他们的个人信息是有价值的。他们的姓名、地址、社会保险号等数据可能被用于银行诈骗,比如以他们的名义开立信贷额度;或者可以与其他信息相结合,比如社交媒体上的信息,来破坏他们的在线账户。因此,一个人应该小心不要把这些信息泄露给不值得信任的人。
也就是说,在这种情况下,消费者几乎无法保护自己。
错误完全在于世行未能以惊人的方式妥善保护这些数据。对消费者来说,唯一的保护措施就是从2005年至今不申请第一资本的信贷额度。
怎样才能结束这场全球范围内的数据泄露灾难?
有大量的技术解决方案可以降低敏感数据暴露给攻击者的风险。然而,考虑到我们所看到的大规模数据泄露的普遍性,似乎很明显,没有足够的内部动机来使用我们现有的安全技术。
在这种情况下,敏感数据可以访问脆弱的Amazon云实例和存储桶,这显然是对个人身份信息加密或保护用于保护该数据的加密密钥的失败,这是云托管提供商存储加密方案的常见失败模式。
黑客想要这些信息做什么?黑客行为背后的动机是什么?
通常,这些信息被用于银行欺诈或进一步利用。
然而,在这种情况下,被指控的攻击者可能不是出于经济原因,而是出于对系统的妥协。奇怪的是,攻击者在Twitter上发布了大量帖子,详细描述了她是如何危害Capital One和其他组织的,同时还保留了一个包含类似信息的Slack频道。
媒体查询,请联系Marirose Sartoretto [email protected]或617-373-5718。
新闻旨在传播有益信息,英文原版地址:https://news.northeastern.edu/2019/07/30/your-capital-one-account-was-hacked-there-was-nothing-you-could-have-done-about-it/