美國最大資料外洩 盜走1.3億筆

留下回應

兩名俄羅斯人與一名佛羅里達州男子周一被控罪，罪名是侵入Heartland Payment Systems、7-Eleven以及Hannaford Brothers連鎖超市的電腦系統，竊走與1.3億筆信用卡與簽帳卡有關的資料。

被起訴的包括28歲的邁阿密男子Albert Gonzalez，他罪名是從八家零售商竊取4,000萬筆信用卡相關資料，受害的商家包括TJ Maxx。另兩人是位在俄羅斯的共犯，姓名未公布。

這起網路入侵事件據信是美國司法部歷年來起訴的案件中，最大的一筆駭客盜取身分資料案。除了Heartland、7-Eleven和Hannaford Brothers之外，另有兩家未點名的企業受害。

這三名男子被控共謀侵入電腦網路竊取資料，犯罪行為可追溯自2006年10月。化名包括「segvec」和「soupnazi」的Gonzalez等人，涉嫌從Fortune 500大企業名單中挑選企業下手，還親自到零售賣場勘查店家使用的是哪一類型的結帳系統。

三人用SQL injection攻擊手法竊取資料，並使用位於加州、伊利諾州、紐澤西州、拉脫維亞、烏克蘭和荷蘭的電腦，來儲存惡意軟體與竊取來的資料，並發動攻擊。駭客發動SQL injection攻擊時，會利用應用程式資料庫層中的安全漏洞，插入惡意腳本(script)，把資料餵進網站。

此三人也涉嫌安裝後門程式(backdoors)，並在偵測到受害者付款時即時攔截資料，並藉使用代理電腦(proxy computers)存取受害者網路的方式隱匿行跡，他們還修改軟體以躲避防毒軟體的偵測，並把軟體設定成能刪掉惡意程式在受害者網路留下的痕跡。

這一行人曾試圖把偷來的資料賣給其他人。他們被控共謀非法入侵電腦、以電腦從事詐欺、共謀犯下電信詐欺(wire fraud)，可能面臨最長35年的徒刑，以及125萬美元的罰金。

Heartland在今年1月總統就職日當天報案，並表示儘管去年也發生過資料外洩事件，但一直到前一周才發現被駭客闖入的證據。

Gonzalez曾是聯邦政府的線民，2003年曾因自動櫃員機和簽帳卡相關的詐欺罪名，在紐澤西被捕。另外，他2008年5月被控入侵連鎖餐廳Dave & Buster的電腦網路，2008年8月又因為TJX系統入侵事件而被起訴。 (唐慧文譯)