Capital One黑客還利用云服務(wù)器進行密碼劫持

一個聯(lián)邦大陪審團起訴佩奇-湯普森，前亞馬遜的工程師，對電信詐騙和計算機詐騙的多計數(shù)的指控，她不僅偷走了數(shù)據(jù)，但浸潤Capital One公司的云服務(wù)器和其他30多家公司后也開采cryptocurrency。

盡管所謂的數(shù)據(jù)盜竊事件已經(jīng)得到了廣泛的記錄，但起訴書標志著檢察官第一次公開宣稱湯普森還非法利用她的服務(wù)器訪問權(quán)來開采加密貨幣，這種做法通常被稱為“加密劫持”。

起訴書稱，湯普森通過利用云服務(wù)器上錯誤配置的Web應(yīng)用程序防火墻來非法訪問云計算公司客戶的數(shù)據(jù)。該云計算提供商的名字沒有透露，但是亞馬遜已被起訴與該違規(guī)行為有關(guān)的訴訟，指控該科技巨頭也應(yīng)為此罪名負責。

加密貨幣礦工因使用計算能力來驗證加密貨幣交易區(qū)塊而得到補償。加密劫持是一種通過使用他人的計算能力來賺錢以開采加密貨幣的方法。

以前曾有暗示，湯普森是所謂的計劃的一部分，從事加密劫持。在先前報道的 Slack消息中，湯普森寫道：“很快我將再次受雇，如果有合伙人，我可以讓他們接管我的加密劫持企業(yè)并留在家中。”

除第一資本外，其他黑客攻擊受害者還包括國家機構(gòu)，外國電信集團和一所公立研究型大學。州機構(gòu)或大學均不在華盛頓州。以色列安全公司Cyber??Int 根據(jù)湯普森在線消息中引用的文件名，建議密歇根州立大學，沃達豐和俄亥俄州運輸局可能是受害者。

據(jù)稱，湯普森使用軟件來識別防火墻易受外部命令攻擊的公司。然后，她發(fā)送了請求，這些請求返回了可以訪問服務(wù)器上數(shù)據(jù)的客戶安全憑證。起訴書稱，湯普森使用虛擬專用網(wǎng)絡(luò)和匿名在線通信軟件The Onion Router(又名Tor)隱瞞了自己的位置和身份。

起訴書說，通過這些方法，湯普森獲得了有關(guān)向億一申請信用卡的1億客戶的信息。據(jù)調(diào)查人員稱，湯普森似乎沒有出售或分享這些信息。湯普森(Thompson)上周在西雅圖出庭作拘留聽證會，在此期間，她被釋放等待審判的請求被拒絕。

當局說，如果湯普森被判有罪，將面臨最高25年的監(jiān)禁。此案正在由美國助理律師史蒂芬·馬薩達和安德魯·弗里德曼提起。

更新，8月29日：沃達豐(Vodafone)被認為是起訴書中被稱為“受害者3”的未具名電信集團，針對GeekWire的詢問發(fā)布了此聲明：“我們的調(diào)查發(fā)現(xiàn)，沃達豐對沃達豐的客戶數(shù)據(jù)或其他個人數(shù)據(jù)沒有影響與這一事件有關(guān)。我們將繼續(xù)與有關(guān)當局合作，以支持他們的調(diào)查。”