1.5億美國公民個資被竊！美司法部起訴中方駭客

美國司法部昨（10日）宣布，起訴4名中國人民解放軍成員，因為他們涉嫌參與2017年大規模駭入美國信評機構易速傳真公司（Equifax）資料庫案，竊取了包括姓名和地址在內的敏感個人資訊，影響將近1.5億美國公民，一些英國和加拿大公民也受到影響。

美國司法部長巴爾（Bill Barr）表示，這群駭客被控竊取約1.47億美國人敏感個資，為全球歷來數一數二大規模的資料外洩事件。他說：「這是蓄意行為且全面侵犯美國人民個資。」

這4名解放軍是吳志勇、王乾、許可和劉磊，他們是解放軍總參謀部第54研究所成員，被控駭客行動、電腦詐欺、經濟間諜及電匯詐欺等多項罪名。美方認為犯嫌目前在中國，但由於尚無法得知嫌疑人確切所在位置，在美國接受審判的可能性很小。

根據美國法院文件，他們在易速傳真公司的系統中待了數週，闖入安全網絡並竊取個人資料。九項控訴書還指控該集團竊取商業機密，包括數據彙編和資料庫設計。

美國官方表示花了一年多時間追蹤他們，對方藏身在20國34台伺服器進行犯罪。司法部長巴爾說：「這是經過組織且厚顏無恥的犯罪行徑，竊取將近一半的美國人敏感個資，以及一家美國公司努力的心血和智慧財產，幕後黑手是一個中國軍方單位。」

被竊的個資包括姓名、出生年月日、地址、社會安全號碼、駕照資料等儲存在易速傳真公司資料庫的個資。

聯邦調查局（FBI）副局長鮑迪希（David Bowdich）表示，尚無證據顯示公司這些資料遭人使用，例如用來挾持銀行帳戶或信用卡，但他也說：「手頭上有這些民眾個資，可以做很多事。」

易速傳真公司在聲明中感謝美國司法部協助，並承諾會加強保護顧客資料。

美國司法部：中國解放軍盜走1.5億名美國民眾個資

美國司法部在本周指控了4名中國軍人，涉嫌在2017年入侵美國第三大消費者信用報告業者Equifax，盜走了1.5億名美國消費者的個人資料，接近美國總人口數（3.3億）的一半，要求他們為其犯罪行為負責。

在2017年遭到駭客入侵的Equifax，外洩了1.5億名美國消費者的個人資料，包括姓名、生日、社會安全碼，以及部分消費者的地址、電話號碼、駕照號碼、電子郵件帳號及信用卡資訊等，在當時排名全球第五大資料外洩事件，僅次於Yahoo在2013年的30億、Yahoo在2014年的5億、MySpace的4.27億與Linkedln的1.67億。

美國司法部指出，來自中國解放軍第54研究所的吳志勇、王乾、許可及劉磊，在2017年同謀駭進Equifax的電腦網路，當時他們攻陷了Equifax未修補的Apache Struts網頁框架漏洞，並取得了登入憑證以在Equifax企業網路中進行偵測，他們花了好幾周的時間查詢Equifax的資料庫結構，同時在系統上搜尋機密或個人資訊。

一旦發現有用的檔案，就把它們壓縮並存放在暫時的檔案中，再伺機將檔案傳送到位於美國之外的伺服器，估計總計執行了9千次的查詢，取得了近半數美國人的個資。

駭客有興趣的檔案不只是個資，美國司法部也指控他們，盜走了包括Equifax的資料彙集與資料庫設計等商業機密。

與絕大多數的國家級駭客一樣，他們也採取了所有可用來躲避偵測的手法，例如駭客的流量經過了近20個國家的34個伺服器，也在Equifax的網路上使用加密通訊管道以魚目混珠，還會每天刪除壓縮檔案與日誌檔案，以避免被察覺，整起入侵行動持續了3個月。

美國司法部長William Barr表示，這是一起故意且全面的入侵行動，美國不只要求這幾名解放軍人對此一事件負責，也要提醒中國政府，美國有能力移除網路上的匿名偽裝，找到那些反覆針對美國展開攻擊的國家級駭客。

上述4名解放軍總計被指控9項罪名，涵蓋電腦詐欺、從事經濟間諜行動及執行電信詐欺等。不過，美國司法部的新聞稿，應是以召告世人及警告中國為主，因為中國政府一向否認曾參與任何的駭客行動，也不會把美國所指稱的嫌犯拱手送給美國。