路透/麦克布雷克
亚马逊网络服务首席执行官安迪·雅西
- 周一晚上,联邦检察官表示,科技工作者佩奇·a·汤普森(Paige A. Thompson)被控电脑欺诈和滥用窃取第一资本数百万客户的数据.
- 据称,汤普森利用了“防火墙错误配置”,使她能够访问存储在Capital One云服务器上的数据刑事诉讼.
- 虽然诉状并没有指明云服务提供商的名字,但亚马逊向彭博社证实,这是亚马逊网络服务公司。Capital One至少自2016年以来一直是AWS的主要客户。
- 该公司证实,汤普森在2016年之前一直是亚马逊网络服务公司的员工彭博.
- 然而,Capital One在最初的声明中表示,云服务提供商没有过错,而针对汤普森的刑事诉讼似乎也支持了这一说法。
- 《纽约时报》亚马逊还报道称,没有“证据表明其底层云服务受到了损害”。
- 这似乎是IT设置和管理中的错误,而不是AWS本身的缺陷。
- 访问商业内幕rayapp3雷竞技官网APP网站主页了解更多故事。
周一晚上,联邦检察官表示,科技工作者佩奇·a·汤普森(Paige A. Thompson)被控电脑欺诈和滥用窃取第一资本数百万客户的数据.
在对汤普森的刑事诉讼中,我们得到了一些据称是如何发生的技术细节。检察官在起诉书中说,“防火墙配置错误”使Capital one的一个云服务器容易受到汤普森的攻击,使她能够发送命令,从而访问相关敏感数据。
诉状中并没有提到Capital One在本案中使用的云服务提供商,只是将其称为“云计算公司”。然而,投诉中包含的Slack对话截图似乎显示汤普森指的是“s3”,这是亚马逊网络服务为开发人员提供的云存储产品的名称。
亚马逊网络服务的一位发言人证实了这一点彭博AWS存储了这些数据,但根据《纽约时报》,“亚马逊表示,没有发现证据表明其基础云服务受到了损害。”
在2016年,Capital One签署了一项重要协议,将使亚马逊网络服务(Amazon Web Services)成为其“主要”云计算提供商。
起诉书称,汤普森能够利用上面提到的“错误配置”发送一条命令,以某种方式让她获得了一个特定账户的安全凭据,检察官称,她能够使用该账户访问“第一资本在云计算公司的某些文件夹”。
同样值得注意的是,亚马逊发言人向彭博社证实,汤普森本人曾是亚马逊网络服务公司的员工。据《商业内幕》(Business Insider)看到的一份简历rayapp3雷竞技官网APP显示,汤普森在GitLab(一个流行的在线代码共享服务)的个人账户上发布了一份简历,汤普森似乎在2015年至2016年期间从事S3服务本身的工作。
这与诉状相符,诉状称汤普森是第一资本公司泄密事件中涉及的同一家“云计算公司”的前员工,并在同一段时间内在那里工作。
然而,诉状似乎并没有将汤普森所谓的入侵归咎于亚马逊网络服务,似乎也没有指责Capital One。
“这种类型的漏洞并不局限于云计算。所涉及的基础设施元素对于云和本地数据中心环境都是通用的。”Capital One在一份关于数据泄露的新闻稿中说.“我们能够快速诊断和修复这个漏洞,并确定其影响,这得益于我们的云运营模式。”
换句话说,Capital One似乎在说,这并非源于云计算的任何固有缺陷或漏洞。此外,距离Capital One称首次发现黑客攻击仅10天;在这份声明中,Capital One将发现并解决问题的能力归功于对云计算的使用。
这方面有很多先例,尽管很少有如此戏剧性的先例:2018年,特斯拉承认,黑客侵入了其亚马逊网络服务账户,并用它来挖掘加密货币。当安全公司RedLock发现特斯拉的IT管理控制台没有密码时,黑客发现了这一漏洞。
RedLock首席技术官高拉•库马尔当时告诉《商业内幕》:“鉴于目前云安全项目的不成熟,我们预计这种类型的网络犯罪将在规模和速度上有所增加。”雷竞技官网APPrayapp3
截至发稿时,亚马逊没有回应置评请求。
下一个故事
