(原標題：1億銀行用戶信息失竊之謎：黑客是怎么找到漏洞的?)

　　上周，美國銀行第一資本金融公司宣布，公司系統(tǒng)遭到入侵，導致逾1億用戶信息泄露。

　　這是史上規(guī)模最大的銀行數(shù)據(jù)失竊案之一，成功取得這一“成就”的女子似乎利用了云系統(tǒng)中的一個漏洞。對于這個漏洞，安全專家們已經(jīng)警告了多年。

　　佩姬·A·湯普森(Paige A. Thompson)曾經(jīng)是亞馬遜公司云計算部門的一名員工，她在7月29日被捕，被指控實施了大規(guī)模盜竊案，竊取了1.06億第一資本用戶的記錄。第一資本表示，“一個特定配置漏洞”導致了數(shù)據(jù)被盜。

　　警告多年的漏洞

　　根據(jù)媒體對湯普森的數(shù)百條在線信息的分析以及對熟悉調(diào)查的知情人士的采訪，湯普森據(jù)稱找到了第一資本系統(tǒng)中的一個漏洞，利用了一些配置錯誤的網(wǎng)絡(luò)中的一個弱點。多年來，安全專家已經(jīng)就這一漏洞發(fā)出了警告。湯普森正是利用這一漏洞騙過了云端的一個系統(tǒng)，找到了供她訪問龐大銀行用戶記錄所需要的敏感憑證。

　　檢察官找到了據(jù)稱是湯普森的網(wǎng)絡(luò)賬號。她利用這些賬號發(fā)布在線信息稱，自己還運用這些入侵技術(shù)訪問其他機構(gòu)的重要網(wǎng)絡(luò)數(shù)據(jù)。這些信息被發(fā)布在網(wǎng)絡(luò)論壇上。

　　湯普森的律師尚未回復置評。她目前依舊被拘留，將于8月15日出席保釋聽證會。

　　湯普森此次之所以能夠入侵第一資本的系統(tǒng)，最重要的就是她顯然利用上了亞馬遜云技術(shù)的核心部分——元數(shù)據(jù)服務(wù)。元數(shù)據(jù)包含了管理云端服務(wù)器所需要的憑證和其他數(shù)據(jù)。在計算機世界里，這些憑證實際上相當于銀行金庫的鑰匙。

　　“敲門”

　　湯普森發(fā)布的網(wǎng)絡(luò)帖子顯示，她發(fā)動此次入侵攻擊的第一步始于今年3月份。她先掃描互聯(lián)網(wǎng)尋找易受攻擊的計算機，從而訪問一家公司的內(nèi)部網(wǎng)絡(luò)。實際上，她“敲”了許多公司的“前門”，目的就是尋找未上鎖的門。

　　熟悉調(diào)查的知情人士稱，在第一資本數(shù)據(jù)失竊案中，她找到了一臺管理公司云端和公共網(wǎng)絡(luò)之間通訊，而且配置錯誤的計算機，也就是說這臺計算機存在安全設(shè)置弱點。于是，門被打開了。

　　在門被打開后，她成功申請了從亞馬遜云端的一個系統(tǒng)尋找和讀取第一資本云存儲數(shù)據(jù)所需要的憑證，也就是元數(shù)據(jù)服務(wù)。憑證就存儲在元數(shù)據(jù)服務(wù)里。

　　“伙計們，許多人在這一步上都做錯了。”湯普森在6月27日的在線信息中稱。她指的是一些公司錯誤配置了他們的服務(wù)器。

　　亞馬遜監(jiān)控工具失靈?

　　知情人士稱，一旦她找到了第一資本的數(shù)據(jù)，她就能夠下載下來。顯然，她的入侵沒有觸發(fā)任何警報。

　　亞馬遜在一份聲明中稱，公司的所有服務(wù)，包括元數(shù)據(jù)服務(wù)，都不是這次入侵事件的根本原因，公司已經(jīng)提供了旨在檢測此類事故的監(jiān)控工具。目前還不清楚為何這些報警工具似乎均未觸發(fā)第一資本的警報鈴。

　　▲湯普森從元數(shù)據(jù)服務(wù)中獲取憑證

　　美國聯(lián)邦調(diào)查局(FBI)的一份宣誓書顯示，第一資本的一個錯誤導致了入侵事件的發(fā)生。第一資本稱，公司現(xiàn)在已經(jīng)修復了配置問題。

　　一些安全專家稱，亞馬遜應(yīng)該在這些配置錯誤上采取更多措施來警告其客戶。其他人則表示，鑒于云安全是大家共同的責任，企業(yè)客戶也必須做好自己的本分工作。亞馬遜已表示，公司推出了多款工具來幫助企業(yè)緩解配置上的疏忽。

　　漏洞在2014年就已曝光

　　美國檢察官稱，湯普森從3月12日啟動了她的入侵行動，但是第一資本一直渾然不知，直到127天后一位外部研究人員告知他們才發(fā)現(xiàn)系統(tǒng)遭到入侵。

　　亞馬遜云安全企業(yè)顧問斯科特·皮珀(Scott Piper)稱，最晚從2014年以來，安全專家就已經(jīng)知道了這些錯誤配置問題中的一種，它允許黑客從元數(shù)據(jù)服務(wù)中竊取憑證。他表示，亞馬遜認為根除這些問題是客戶的責任，但是一些客戶未能解決問題。

　　安全研究人員布萊南·托馬斯(Brennon Thomas)在3月份實施了一次互聯(lián)網(wǎng)掃描，發(fā)現(xiàn)逾800個亞馬遜賬號允許外部進行類似的元數(shù)據(jù)服務(wù)訪問。亞馬遜云計算服務(wù)擁有100多萬用戶。

　　托馬斯稱，配置錯誤的服務(wù)器導致外部人士訪問敏感元數(shù)據(jù)，這個問題并不局限于亞馬遜AWS云計算服務(wù)。他的測試還發(fā)現(xiàn)，運行在微軟云端的系統(tǒng)也存在問題。微軟尚未置評。

　　注重云安全依舊遭入侵

　　對于一些研究人員來說，第一資本成為黑客入侵的受害者令人意外。第一資本管理人員稱，在2015年決定擁抱云服務(wù)以前，公司進行了大量盡職調(diào)查。“在云安全業(yè)內(nèi)人士眼里，第一資本非常注重云安全，擁有業(yè)內(nèi)最強大的安全團隊之一。”皮珀稱。

　　第一資本數(shù)據(jù)泄露事件并不是第一次存儲在云端的數(shù)據(jù)被盜。但是，作為美國第五大信用卡發(fā)卡商，第一資本遭入侵再次讓外界對云計算的安全產(chǎn)生擔憂。第一資本是云計算的早期采用者，被列為亞馬遜AWS網(wǎng)站上的一個案例研究。

　　美聯(lián)儲并未受到此次攻擊事件的波及。據(jù)媒體報道，美聯(lián)儲一直在審視使用云系統(tǒng)存儲敏感財政記錄一事。

　　湯普森在一個帖子中暗示，她還嘗試利用這一技術(shù)入侵其他公司的云計算賬號，包括意大利聯(lián)合信貸銀行(UniCredit SpA)和福特汽車。聯(lián)合信貸銀行和福特均表示，他們正在調(diào)查這一事件。FBI還啟動了對其他目標的調(diào)查，他們懷疑這些目標可能也遭到了湯普森的攻擊。

　　如果湯普森不在網(wǎng)上發(fā)布她的入侵細節(jié)，她的行動被發(fā)現(xiàn)可能還需要遠遠更長的時間。