一名前亚马逊网络服务(AWS)工程师因入侵客户的云存储系统并窃取跟2019年Capital One大规模违规事件有关的数据而被认定有罪。美国西雅图地区法院周五判定Paige Thompson犯有七项计算机和电信欺诈罪,这将使其最高可被判处20年的监禁。
Thompson在网上的名字是Erratic,他因在2019年7月实施Capital One黑客攻击而被捕。该漏洞是有史以来最大的漏洞之一,其曝光了美国和加拿大超过1亿人的姓名、出生日期、社保号码、电子邮件地址和电话号码。此后,Capital One因涉嫌未能确保用户数据安全而被罚款8000万美元并跟受影响的客户达成了1.9亿美元的和解。
美国司法部的一份新闻稿指出,汤普森开发了一种工具,其可扫描AWS的错误配置账户,然后利用这些账户进入Capital One和其他几十个AWS客户的系统。检察官还称,Thompson“劫持”了公司的服务器一安装加密货币挖掘软件,然后将任何收入转移到她的个人加密货币钱包。后来,她还在网上论坛和信息中“吹嘘”她的不当行为。
当时,由于Thompson在网上对她在Capital One攻击事件中的角色表现出不同寻常的坦诚,所以人们对Thompson是道德黑客还是安全研究员存在一些争议--她将客户的敏感数据发布在一个公开的GitHub页面上并在Twitter和Slack上分享漏洞的细节。今年早些时候,美司法部明确表示,它不会根据《计算机欺诈和滥用法》起诉安全研究人员。但美国检察官显然不相信Thompson的行为属于这一例外。
美国检察官Nick Brown在一份声明中说道:“她远不是一个试图帮助公司解决计算机安全问题的有道德的黑客,而是利用错误来窃取有价值的数据并试图使自己致富。”据悉,Thompson的判刑听证会将于2022年9月15日举行。
(举报)