一名前亞馬遜網(wǎng)絡服務(AWS)工程師因入侵客戶的云存儲系統(tǒng)并竊取跟2019年Capital One大規(guī)模違規(guī)事件有關的數(shù)據(jù)而被認定有罪。美國西雅圖地區(qū)法院周五判定Paige Thompson犯有七項計算機和電信欺詐罪，這將使其最高可被判處20年的監(jiān)禁。

Thompson在網(wǎng)上的名字是Erratic，他因在2019年7月實施Capital One黑客攻擊而被捕。該漏洞是有史以來最大的漏洞之一，其曝光了美國和加拿大超過1億人的姓名、出生日期、社保號碼、電子郵件地址和電話號碼。此后，Capital One因涉嫌未能確保用戶數(shù)據(jù)安全而被罰款8000萬美元并跟受影響的客戶達成了1.9億美元的和解。

美國司法部的一份新聞稿指出，湯普森開發(fā)了一種工具，其可掃描AWS的錯誤配置賬戶，然后利用這些賬戶進入Capital One和其他幾十個AWS客戶的系統(tǒng)。檢察官還稱，Thompson“劫持”了公司的服務器一安裝加密貨幣挖掘軟件，然后將任何收入轉移到她的個人加密貨幣錢包。后來，她還在網(wǎng)上論壇和信息中“吹噓”她的不當行為。

當時，由于Thompson在網(wǎng)上對她在Capital One攻擊事件中的角色表現(xiàn)出不同尋常的坦誠，所以人們對Thompson是道德黑客還是安全研究員存在一些爭議--她將客戶的敏感數(shù)據(jù)發(fā)布在一個公開的GitHub頁面上并在Twitter和Slack上分享漏洞的細節(jié)。今年早些時候，美司法部明確表示，它不會根據(jù)《計算機欺詐和濫用法》起訴安全研究人員。但美國檢察官顯然不相信Thompson的行為屬于這一例外。

美國檢察官Nick Brown在一份聲明中說道：“她遠不是一個試圖幫助公司解決計算機安全問題的有道德的黑客，而是利用錯誤來竊取有價值的數(shù)據(jù)并試圖使自己致富。”據(jù)悉，Thompson的判刑聽證會將于2022年9月15日舉行。

（舉報）