前亚马逊工程师被定罪,曾盗窃曝光超 1 亿人数据
IT之家 6 月 19 日消息,美国西雅图陪审团裁定,前亚马逊软件工程师 Paige Thompson 被指控在 2019 年从 Capital One 窃取数据,犯有电信欺诈罪和五项未经授权访问受保护计算机的罪名。
Capital One 黑客攻击是美国更大的安全漏洞之一, 该事件导致 1 亿美国人和 600 万加拿大人的数据泄露 ,包括姓名、出生日期、社保号码、电子邮件地址和 *** 号码。Thompson 于当年 7 月被捕,当时一名 GitHub 用户看到她在网站上分享有关从存储 Capital One 信息的服务器窃取数据的信息。
根据美国司法部的公告,Thompson 使用她自己构建的工具来扫描亚马逊 *** 服务以查找配置错误的账户。据称,她随后使用这些账户渗透了 Capital One 的服务器并下载了超过 1 亿人的数据。
陪审团裁定 Thompson 这样做违反了《计算机欺诈和滥用法》,但 Thompson 的律师辩称,她使用的工具和 *** 与道德黑客所使用的工具和 *** 相同。
IT之家了解到,美国司法部最近修改了《计算机欺诈和滥用法》,以保护道德或白帽黑客。只要研究人员“善意”地调查或修复漏洞,并且没有将他们发现的安全漏洞用于勒索或其他恶意目的,就不能再根据法律受到指控。
然而, 美国当局不同意 Thompson 只是试图揭露 Capital One 漏洞的说法 。司法部表示,她将加密货币挖掘软件植入银行的服务器,并将收益直接发送到她的数字钱包。据称,她还在论坛上吹嘘自己的黑客行为。
美国检察官 Nick Brown 表示:“她远不是一个试图帮助公司保护计算机安全的道德黑客,而是利用错误窃取有价值的数据并从中牟利。” Thompson 可能因电信欺诈被判处更高 20 年的监禁 ,每项非法访问受保护计算机的指控更高可判处 5 年监禁。她的量刑听证会定于 9 月 15 日举行。
2017年置美国于危险之中的那些黑客事件?
12月26日报道美国有线电视新闻网网站12月18日发表题为《2017年置我们于危险之中的那些黑客事件》的报道,盘点了2017年发生的一些重大黑客事件:
伊奎法克斯泄密事件
今年7月,有 *** 犯罪分子渗透进美国更大的征信企业之一伊奎法克斯公司,窃取了1.45亿人的个人信息。此案被视为有史以来最严重的黑客事件之一,因为有太多敏感信息被曝光,公民的社会保险号也在其中。
伊奎法克斯公司直到两个月后才披露此事。案件的影响恐怕会持续好几年,因为被盗数据可以用来实施身份盗用犯罪。
伊奎法克斯泄密案发生后,人们开始担心中介机构掌握的大量消费者信息数据是否安全。从公共记录、邮件地址到出生日期,中介机构掌握了各种个人信息。
伊奎法克斯之类的公司会把信息出售给银行、房东、雇主等客户,买了信息的人会更加了解你。
雅虎事件
雅虎的母公司美国威瑞森电信公司今年8月宣布,全球30亿雅虎账户早在2013年就全部遭到入侵——受害规模是最初估测结果的三倍。
前雅虎首席执行官玛丽萨·迈耶11月在美国国会表示,雅虎直到2016年才发现入侵事件,当时声称受影响账户为10亿个。
到目前为止,雅虎仍然不清楚究竟谁是罪魁祸首。
*** 工具外泄
今年4月,一个名为“影子经纪人”的匿名组织发布了一批黑客工具,据信这批工具来自美国国家安全局。
黑客可以利用这些工具入侵多种Windows服务器和操作系统,包括Windows7和Windows8系统。
美国微软公司表示早在今年3月就发布了针对相关安全漏洞的补丁,但许多公司没有及时更新。随后,“影子经纪人”发布的工具被用来制造多起国际重大黑客事件,比如“想哭”勒索事件。
“想哭”勒索软件
“想哭”勒索软件利用了从美国国安局泄露出来的部分工具,传播到150多个国家。“想哭”在今年5月瞄准了使用过时Windows软件的公司,锁住了它们的电脑系统。
“想哭”背后的黑客要求这些公司为解锁文件支付赎金,超过30万台机器受到影响,包括医疗和汽车在内的无数行业都未能幸免。
而且此事影响到了人命:有英国医院因为电脑被锁定,被迫暂时关闭。有病人告诉记者,他的癌症手术只能推迟。
“诺特佩蒂亚”病毒
今年6月,“诺特佩蒂亚”电脑病毒瞄准了使用中毒财税软件的乌克兰公司。多家大型跨国企业中招,包括美国联邦快递公司、英国WPP广告公司、俄罗斯石油公司和丹麦马士基航运有限公司。
“诺特佩蒂亚”的传播方式还利用了“影子经纪人”泄露出来的安全漏洞。
美国联邦快递9月表示,病毒已造成3亿美元损失,旗下 *** 国际快递公司被迫暂停业务。
“坏兔子”勒索软件
另一个造成很大骚动的勒索软件是“坏兔子”。“坏兔子”利用新闻媒体网站弹出的Adobe Flash软件安装请求来渗透用户电脑,而那些新闻媒体网站已经被黑客入侵了。
这轮勒索风潮发生在10月,主要冲击了俄罗斯,但有专家发现乌克兰、土耳其和德国也出现了受害者。
这件事提醒我们,用户一定不要通过广告弹出窗口或者不属于软件公司的网站来下载软件。
选民信息泄露
今年6月,有电脑安全研究人员发现,一家美国共和党数据公司在选择亚马逊云存储服务的安全设置时出了错,导致近2亿选民信息被泄露。
这是亚马逊服务器不够安全所导致的最新一起重大泄密事件。服务器的默认选项是安全的,但 *** 安全师克里斯·维克里经常发现有公司设置错误。
美国威瑞森电信公司和美国国防部同样有存储在亚马逊服务器里的信息被曝光。
优步隐瞒黑客案
2016年,有黑客窃取了5700万优步用户的数据,美国优步公司随后支付10万美元平息此事。直到今年11月,该案才被新任优步首席执行官达拉·霍斯劳沙希披露出来。优步公司眼下正面临议员的质询。三位联邦参议员推动制定相关法案,很可能导致那些故意掩盖数据入侵事件的高管面临牢狱之灾。
报道称,此类事件,2018年会更多。美国趋势科技公司副总裁农尼霍芬认为,针对物联网的攻击活动将持续影响民航、制造、汽车等行业,因为这些行业越来越依靠所谓的智能技术。
“我们的手提电脑和手机所面临的 *** 安全挑战,这些行业同样要面对,但它们同时与真实世界的真实物体联系在一起。如果有人入侵我的手提电脑,我的数据就会受到威胁。但如果有人入侵一台自动机械臂,受威胁的就成了整条生产线。”
报道表示,今年的各种入侵事件恐怕将最终改变消费者的行为。事实证明,社会保险号与生日恐怕不是安全识别身份的更佳方式,犯罪分子以较低的价格买卖这些数字,而地址、电邮、密码之类的个人信息也被买来买去。
亚马逊封号事件首迎胜利,封号卖家应如何破局?
近日, 深圳某大卖通过律师团队在美国仲裁委申请仲裁,得到了美国紧急仲裁员的初步裁决:亚马逊支付全部仲裁和其他费用,包括紧急程序和主要程序。并裁定,平台自行决定扣留卖家资金的相关条款无效。这是平台卖家取得的初步性胜利。
亚马逊封号背景:
事件回到2021年,亚马逊从4月份开始对违反平台规则的卖家进行封号,发展至 5月份,“封号风波”越演越烈,波及超过5万中国商家,从头部大卖蔓延到了腰部,甚至是中小卖家。造成上百亿资金被冻结,封号卖家上千亿存货无法销售。其中有棵树被冻结店铺资金约1.28亿元,累计被封站点数约400 个;泽宝技术被封367个站点,冻结资金约3224万元;通拓则被封禁54个店铺,涉及冻结资金约4143万元人民币。虽然出事后,大卖们的之一反应都是向亚马逊提出申诉,要求解除被封店铺以及被冻结资金,有华南城大卖甚至亲自飞到亚马逊总部去申诉,但并未取得显著成效。亚马逊对此态度强硬。
亚马逊封号的原因
亚马逊作为世界之一大电商平台,有不少来自全球各地的卖家,这些卖家在亚马逊上赚钱,同时也丰富着亚马逊的商品种类,其实,双方是互相成就互利共赢的利益共同体。那为什么亚马逊要这么做呢?
原因在于当时有黑客黑进了一个刷单公司的后台并把亚马逊卖家存在刷单,派发小卡片的行为进行了曝光。此曝光在美国引起了轩然 *** ,各类媒体竞相报道,美国民众对亚马逊进行了强烈的谴责,认为亚马逊容忍卖家的此行为辜负了广大买家的信任,因为他们完全是基于平台客户评论真实性的和产品的质量考虑,才在亚马逊平台上购买东西,甚至办理会员。亚马逊此举伤了他们的心。而亚马逊当时也正遭受国会的反垄断调查,此事件的曝光给他们造成了很大的压力,也影响了他们的发展,所以为了自证清白,也为了显示他们整改的决心,才有了这次大规模的封号事件。
亚马逊封号后,卖家如何自救
被亚马逊封号后,卖家应该如何自救呢?协商?起诉?无动于衷任其宰割?
协商已然行不通,因为亚马逊态度强硬.大多数卖家确实做了违反规定的刷单行为,亚马逊第二条大纲" 服务费用支付,销售收入的接收 "中约定了:
在细则里可以看到,当你的行为可能违反我们的条款……我们可自行决定扣留向您支付的任何款项”;“或屡次违反我们的计划政策,则我们可以自行决定永久拒绝向您付款”。
起诉?卖家甚至无法拥有起诉的权利,因为亚马逊 服务商业解决方案协议第 18 条规定 了对所有争议的具有约束力的仲裁的约束:
亚马逊和您均同意,与亚马逊或其关联公司之间的任何争 议或以任何方式与本协议或您使用服务有关的索赔将通过本段所述的具有约束力的仲裁解决,而不是在法庭上解决。该协议的一部分要求卖方同意通过“有约束力的仲裁…而不是在法庭上”解决纠纷。合同还要求卖方“仅以个体方式进行仲裁”,而不是集体、联合或 *** 诉讼。
也就是说合同将起诉、集体诉讼都排除在外。你只能单独提起仲裁,而单独提起仲裁的费用在美国是非常昂贵的,更低也要十几万美金。大部分的中小卖家无法承受如此昂贵的费用。
无动于衷任其宰割?那换作是谁都做不到任由自己辛苦所得白白打水漂的。
封号卖家应如何破局?
如此说来,真的一点办法都没有了吗?其实目前的成功案例已经为我们指明了方向。突破口就在于亚马逊的条款和行为是否符合程序正义?是否存在垄断行为?
首先,根据美国的司法体系,程序正义非常重要,即使卖家存在刷单的行为,但是在卖家行使听证和诉讼权利之前,在没有任何提前告知和给予时间准备的前提下封号、冻结资金并要求卖家在短时间内移仓,都应认为是不恰当的惩罚,不符合程序正义的原则。
其次,虽然在卖家入驻亚马逊时点击确认的格式条款中确实包含了不得集体诉讼的相关内容,但是此条条款明显违反了公平原则,违反了不正当竞争法,应被认定是一种垄断行为。
所以就这次的成功案例来说,起码给了大部分封号卖家们一个借鉴,可以从以下几方面维护自己的权益:
1.有经济实力,受影响巨大的大卖家,应该争取时间,马上进行个体仲裁,要求亚马逊解冻资金,并停止要求卖家移仓。起码能先拿回被冻结资金以及赢得货物转移的时间。
2.中等卖家们应该通过抱团的方式,向亚马逊提起集体诉讼,以降低诉讼成本,要求亚马逊赔偿因封号造成的损失,维护自己的权益。 根据上述胜诉案例,虽然亚马逊与卖家的协议中约定,亚马逊有权根据实际情况,自行决定永久拒绝付款。但是,根据美国卖家的案件仲裁结果,已经认定该条款无效。
最后的一些思考
这次胜诉,对于包括中国卖家在内的所有亚马逊卖家来说,是一个重大利好。美国所属的英美法系是“判例法”,有遵循先例的传统。在后续的仲裁中,有这些胜诉案例支撑,中国卖家胜出的概率会大大增加。中国卖家们一定要委托国外律所律师或者与国外律所有合作的本国律师事务所中有涉外案件经验的律师,因为涉外诉讼跨越了两个国家,两种法系,从程序和执行来说都是非常复杂的,切勿随便找无经验的只处理过国内案件的律师 *** ,既浪费时间也浪费金钱,最后也得不到自己想要的结果。
虽然中国卖家此次是因为虚假评论,刷单被封号和冻结资金,但是如果企业后面还要继续走电商这条路,继续在亚马逊平台上经营,一定要注意回归到合规运营中来。认真学习并践行平台规则,保证产品安全,涉外知识产权(包括专利,商标,外观设计)合规,税务合规,公司运营合规等等,这样企业才能越走越远,越走越好。