前亞馬遜工程師被定罪,曾盜竊曝光超 1 億人數據
IT 之家 6 月 19 日消息,美國西雅圖陪審團裁定,前亞馬遜軟件工程師 Paige Thompson 被指控在 2019 年從 Capital One 竊取數據,犯有電信欺詐罪和五項未經授權訪問受保護計算機的罪名。
Capital One 黑客攻擊是美國最大的安全漏洞之一,該事件導致 1 億美國人和 600 萬加拿大人的數據泄露,包括姓名、出生日期、社保號碼、電子郵件地址和電話號碼。Thompson 于當年 7 月被捕,當時一名 GitHub 用戶看到她在網站上分享有關從存儲 Capital One 信息的服務器竊取數據的信息。
根據美國司法部的公告,Thompson 使用她自己構建的工具來掃描亞馬遜網絡服務以查找配置錯誤的賬戶。據稱,她隨后使用這些賬戶滲透了 Capital One 的服務器并下載了超過 1 億人的數據。
陪審團裁定 Thompson 這樣做違反了《計算機欺詐和濫用法》,但 Thompson 的律師辯稱,她使用的工具和方法與道德黑客所使用的工具和方法相同。
IT 之家了解到,美國司法部最近修改了《計算機欺詐和濫用法》,以保護道德或白帽黑客。只要研究人員 " 善意 " 地調查或修復漏洞,并且沒有將他們發現的安全漏洞用于勒索或其他惡意目的,就不能再根據法律受到指控。
然而,美國當局不同意 Thompson 只是試圖揭露 Capital One 漏洞的說法。司法部表示,她將加密貨幣挖掘軟件植入銀行的服務器,并將收益直接發送到她的數字錢包。據稱,她還在論壇上吹噓自己的黑客行為。
美國檢察官 Nick Brown 表示:" 她遠不是一個試圖幫助公司保護計算機安全的道德黑客,而是利用錯誤竊取有價值的數據并從中牟利。"Thompson 可能因電信欺詐被判處最高 20 年的監禁,每項非法訪問受保護計算機的指控最高可判處 5 年監禁。她的量刑聽證會定于 9 月 15 日舉行。
