一名前亞馬遜網絡服務(AWS)工程師因入侵客戶的雲存儲系統並竊取跟2019年Capital One大規模違規事件有關的數據而被認定有罪。美國西雅圖地區法院周五判定Paige Thompson犯有七項計算機和電信欺詐罪,這將使其最高可被判處20年的監禁。
資料圖
Thompson在網上的名字是Erratic,他因在2019年7月實施Capital One黑客攻擊而被捕。該漏洞是有史以來最大的漏洞之一,其曝光了美國和加拿大超過1億人的姓名、出生日期、社保號碼、電子郵件地址和電話號碼。此後,Capital One因涉嫌未能確保用戶數據安全而被罰款8000萬美元並跟受影響的客戶達成了1.9億美元的和解。
美國司法部的一份新聞稿指出,湯普森開發了一種工具,其可掃描AWS的錯誤配置賬戶,然後利用這些賬戶進入Capital One和其他幾十個AWS客戶的系統。檢察官還稱,Thompson“劫持”了公司的服務器一安裝加密貨幣挖掘軟件,然後將任何收入轉移到她的個人加密貨幣錢包。後來,她還在網上論壇和信息中“吹噓”她的不當行為。
當時,由於Thompson在網上對她在Capital One攻擊事件中的角色表現出不同尋常的坦誠,所以人們對Thompson是道德黑客還是安全研究員存在一些爭議–她將客戶的敏感數據發布在一個公開的GitHub頁面上並在Twitter和Slack上分享漏洞的細節。今年早些時候,美司法部明確表示,它不會根據《計算機欺詐和濫用法》起訴安全研究人員。但美國檢察官顯然不相信Thompson的行為屬於這一例外。
美國檢察官Nick Brown在一份聲明中說道:“她遠不是一個試圖幫助公司解決計算機安全問題的有道德的黑客,而是利用錯誤來竊取有價值的數據並試圖使自己致富。”據悉,Thompson的判刑聽證會將於2022年9月15日舉行。