Capital One黑客還利用云服務(wù)器進(jìn)行密碼劫持

一個(gè)聯(lián)邦大陪審團(tuán)起訴佩奇-湯普森，前亞馬遜的工程師，對(duì)電信詐騙和計(jì)算機(jī)詐騙的多計(jì)數(shù)的指控，她不僅偷走了數(shù)據(jù)，但浸潤(rùn)C(jī)apital One公司的云服務(wù)器和其他30多家公司后也開采cryptocurrency。

盡管所謂的數(shù)據(jù)盜竊事件已經(jīng)得到了廣泛的記錄，但起訴書標(biāo)志著檢察官第一次公開宣稱湯普森還非法利用她的服務(wù)器訪問權(quán)來開采加密貨幣，這種做法通常被稱為“加密劫持”。

起訴書稱，湯普森通過利用云服務(wù)器上錯(cuò)誤配置的Web應(yīng)用程序防火墻來非法訪問云計(jì)算公司客戶的數(shù)據(jù)。該云計(jì)算提供商的名字沒有透露，但是亞馬遜已被起訴與該違規(guī)行為有關(guān)的訴訟，指控該科技巨頭也應(yīng)為此罪名負(fù)責(zé)。

加密貨幣礦工因使用計(jì)算能力來驗(yàn)證加密貨幣交易區(qū)塊而得到補(bǔ)償。加密劫持是一種通過使用他人的計(jì)算能力來賺錢以開采加密貨幣的方法。

以前曾有暗示，湯普森是所謂的計(jì)劃的一部分，從事加密劫持。在先前報(bào)道的 Slack消息中，湯普森寫道：“很快我將再次受雇，如果有合伙人，我可以讓他們接管我的加密劫持企業(yè)并留在家中。”

除第一資本外，其他黑客攻擊受害者還包括國(guó)家機(jī)構(gòu)，外國(guó)電信集團(tuán)和一所公立研究型大學(xué)。州機(jī)構(gòu)或大學(xué)均不在華盛頓州。以色列安全公司Cyber??Int 根據(jù)湯普森在線消息中引用的文件名，建議密歇根州立大學(xué)，沃達(dá)豐和俄亥俄州運(yùn)輸局可能是受害者。

據(jù)稱，湯普森使用軟件來識(shí)別防火墻易受外部命令攻擊的公司。然后，她發(fā)送了請(qǐng)求，這些請(qǐng)求返回了可以訪問服務(wù)器上數(shù)據(jù)的客戶安全憑證。起訴書稱，湯普森使用虛擬專用網(wǎng)絡(luò)和匿名在線通信軟件The Onion Router(又名Tor)隱瞞了自己的位置和身份。

起訴書說，通過這些方法，湯普森獲得了有關(guān)向億一申請(qǐng)信用卡的1億客戶的信息。據(jù)調(diào)查人員稱，湯普森似乎沒有出售或分享這些信息。湯普森(Thompson)上周在西雅圖出庭作拘留聽證會(huì)，在此期間，她被釋放等待審判的請(qǐng)求被拒絕。

當(dāng)局說，如果湯普森被判有罪，將面臨最高25年的監(jiān)禁。此案正在由美國(guó)助理律師史蒂芬·馬薩達(dá)和安德魯·弗里德曼提起。

更新，8月29日：沃達(dá)豐(Vodafone)被認(rèn)為是起訴書中被稱為“受害者3”的未具名電信集團(tuán)，針對(duì)GeekWire的詢問發(fā)布了此聲明：“我們的調(diào)查發(fā)現(xiàn)，沃達(dá)豐對(duì)沃達(dá)豐的客戶數(shù)據(jù)或其他個(gè)人數(shù)據(jù)沒有影響與這一事件有關(guān)。我們將繼續(xù)與有關(guān)當(dāng)局合作，以支持他們的調(diào)查。”