上周，美國銀行第一資本金融公司宣布，公司系統遭到入侵，導致逾1億用戶信息泄露。這是史上規模最大的銀行數據失竊案之一，成功取得這一“成就”的女子似乎利用了云系統中的一個漏洞。對于這個漏洞，安全專家們已經警告了多年。

佩姬·A·湯普森(Paige A. Thompson)曾經是亞馬遜公司云計算部門的一名員工，她在7月29日被捕，被指控實施了大規模盜竊案，竊取了1.06億第一資本用戶的記錄。第一資本表示，“一個特定配置漏洞”導致了數據被盜。

警告多年的漏洞

根據媒體對湯普森的數百條在線信息的分析以及對熟悉調查的知情人士的采訪，湯普森據稱找到了第一資本系統中的一個漏洞，利用了一些配置錯誤的網絡中的一個弱點。多年來，安全專家已經就這一漏洞發出了警告。湯普森正是利用這一漏洞騙過了云端的一個系統，找到了供她訪問龐大銀行用戶記錄所需要的敏感憑證。

檢察官找到了據稱是湯普森的網絡賬號。她利用這些賬號發布在線信息稱，自己還運用這些入侵技術訪問其他機構的重要網絡數據。這些信息被發布在網絡論壇上。

黑客湯普森

湯普森的律師尚未回復置評。她目前依舊被拘留，將于8月15日出席保釋聽證會。

湯普森此次之所以能夠入侵第一資本的系統，最重要的就是她顯然利用上了亞馬遜云技術的核心部分——元數據服務。元數據包含了管理云端服務器所需要的憑證和其他數據。在計算機世界里，這些憑證實際上相當于銀行金庫的鑰匙。

“敲門”

湯普森發布的網絡帖子顯示，她發動此次入侵攻擊的第一步始于今年3月份。她先掃描互聯網尋找易受攻擊的計算機，從而訪問一家公司的內部網絡。實際上，她“敲”了許多公司的“前門”，目的就是尋找未上鎖的門。

熟悉調查的知情人士稱，在第一資本數據失竊案中，她找到了一臺管理公司云端和公共網絡之間通訊，而且配置錯誤的計算機，也就是說這臺計算機存在安全設置弱點。于是，門被打開了。

在門被打開后，她成功申請了從亞馬遜云端的一個系統尋找和讀取第一資本云存儲數據所需要的憑證，也就是元數據服務。憑證就存儲在元數據服務里。

“伙計們，許多人在這一步上都做錯了?！睖丈?月27日的在線信息中稱。她指的是一些公司錯誤配置了他們的服務器。

亞馬遜監控工具失靈？

知情人士稱，一旦她找到了第一資本的數據，她就能夠下載下來。顯然，她的入侵沒有觸發任何警報。

亞馬遜在一份聲明中稱，公司的所有服務，包括元數據服務，都不是這次入侵事件的根本原因，公司已經提供了旨在檢測此類事故的監控工具。目前還不清楚為何這些報警工具似乎均未觸發第一資本的警報鈴。

湯普森從元數據服務中獲取憑證

美國聯邦調查局(FBI)的一份宣誓書顯示，第一資本的一個錯誤導致了入侵事件的發生。第一資本稱，公司現在已經修復了配置問題。

一些安全專家稱，亞馬遜應該在這些配置錯誤上采取更多措施來警告其客戶。其他人則表示，鑒于云安全是大家共同的責任，企業客戶也必須做好自己的本分工作。亞馬遜已表示，公司推出了多款工具來幫助企業緩解配置上的疏忽。

漏洞在2014年就已曝光

美國檢察官稱，湯普森從3月12日啟動了她的入侵行動，但是第一資本一直渾然不知，直到127天后一位外部研究人員告知他們才發現系統遭到入侵。

亞馬遜云安全企業顧問斯科特·皮珀(Scott Piper)稱，最晚從2014年以來，安全專家就已經知道了這些錯誤配置問題中的一種，它允許黑客從元數據服務中竊取憑證。他表示，亞馬遜認為根除這些問題是客戶的責任，但是一些客戶未能解決問題。

安全研究人員布萊南·托馬斯(Brennon Thomas)在3月份實施了一次互聯網掃描，發現逾800個亞馬遜賬號允許外部進行類似的元數據服務訪問。亞馬遜云計算服務擁有100多萬用戶。

湯普森的家

托馬斯稱，配置錯誤的服務器導致外部人士訪問敏感元數據，這個問題并不局限于亞馬遜AWS云計算服務。他的測試還發現，運行在微軟云端的系統也存在問題。微軟尚未置評。

注重云安全依舊遭入侵

對于一些研究人員來說，第一資本成為黑客入侵的受害者令人意外。第一資本管理人員稱，在2015年決定擁抱云服務以前，公司進行了大量盡職調查?！霸谠瓢踩珮I內人士眼里，第一資本非常注重云安全，擁有業內最強大的安全團隊之一?！逼ょ攴Q。

第一資本數據泄露事件并不是第一次存儲在云端的數據被盜。但是，作為美國第五大信用卡發卡商，第一資本遭入侵再次讓外界對云計算的安全產生擔憂。第一資本是云計算的早期采用者，被列為亞馬遜AWS網站上的一個案例研究。

美聯儲并未受到此次攻擊事件的波及。據媒體報道，美聯儲一直在審視使用云系統存儲敏感財政記錄一事。

湯普森在一個帖子中暗示，她還嘗試利用這一技術入侵其他公司的云計算賬號，包括意大利聯合信貸銀行(UniCredit SpA)和福特汽車。聯合信貸銀行和福特均表示，他們正在調查這一事件。FBI還啟動了對其他目標的調查，他們懷疑這些目標可能也遭到了湯普森的攻擊。

如果湯普森不在網上發布她的入侵細節，她的行動被發現可能還需要遠遠更長的時間。

責任編輯：王超