Capital One隐私数据泄密案下的亚马逊云的生死危局

这两天由于众所周知的原因，我每天都日常主要是看书复习和写写软文，日子过得充实，也就没关注最近美帝发生的一件大事情。这可真的是大事情。按照惯例我这种做IT互联网自媒体的，对信息很敏感，第一时间就应该写文章里。但是我最近因为自己的事情确实是丧失了敏感性。

好在今天早上起来刷news，看到了这件事情的后续，所以赶紧写一篇吧。这篇文章在美国的粉丝希望你们可以认真的看一下，和你们每个人切身利益相关。

事情是这样的，美国大银行Capital One的用户隐私数据泄密来。这次泄密的有社会安全号－类似国内身份证号一样的东西，有用户过去10多年的申卡信息等等。总体上影响大概1亿美国和加拿大人。加上之前信用记录公司Equifax的信息泄露，可以说美帝的基本上每个人都信用信息都已经在黑产手里了。

我也顺便检查了一下我的信息，也被泄露了。所以现在在美帝的人基本上处于裸奔状态。我强烈建议每个在美帝的人，都应该从现在开始起监控自己的信用记录，以防止id被盗窃。具体的办法收费的可以买三大信用局以及各大信用卡公司的服务，一个月不到20美元。免费的话，creditkarma等之类的也可以。

Capital One这次数据泄漏被发现的过程大概是这样的。某路人甲在GitHub上看到了泄密的数据，就给capital one的某个公开账号写来一封邮件说你们的数据泄密了，在这里，快来看看。

Capital One一看事情大条了，就报警，FBI把人给抓了。这个偷数据的人叫Paige Thompson，也是一个传奇。他（她）是一个自己认为自己是女人的男人，在美国被称为transgender。

他是自学成才，2005年到2006年在bellevue college上过课，然后就辍学了。Bellevue college是本地的一个提供大学前两年教育的学院。两年以后要转去大学，这也是美国教育的特色了。

他之前在亚马逊的S3上过班，是亚马逊的员工。从这一点上来说我们不得不佩服亚马逊不拘一格招人的风格。无论是学中文的建筑都还是自学成才的都可以去上班。

他的Twitter显示自己是个破解爱好者，是不是高手不得而知。但是重点是Capital One是亚马逊AWS在云端金融行业的标杆客户，其数据都存在S3上。所以这次是一个S3前员工盗窃了存储在S3上帝敏感用户数据。具体怎么盗窃的还不得而知。

这在美国真的是一个非常巨大的事情。可能有些人还不理解为什么这样说。简单一点来说，包含用户敏感信息的数据肯定是加密保存的，密钥一般人无法获得，起码Capital One员工先不说，亚马逊的普通员工按理是不能获得访问数据内容权限的。

这一点我在微软的时候印象非常的深刻，脱敏数据的访问要简单很多，但是涉及用户隐私的数据，大部分人是不可能获得访问权限的，少数可以访问内容的人也是严格监管的。

现在的加密技术决定了如果没有量子计算机发明出来，没有密钥根本不可能得到数据的明文。那么一个亚马逊S3前员工居然如此轻而易举的就获得了权限极高，管控极其严格的用户数据。

而且，不管是银行还是亚马逊的所有监管系统都没有报警！没有报警！！要不是这个偷数据的人自己装逼把偷来的数据放到GitHub上公开的话，鬼知道要猴年马月才能发现数据被偷。

亚马逊的所有监控体系都形同虚设啊。你说这是多可怕的事情。你能想象全球第一大云厂商是这样的大门敞开的给所有人服务吗？发生了这样的事情以后你还敢用S3去存宝贝的数据，然后让人不知布局全偷走吗？我是不敢。

果不其然，美国众议院这下子就怒了。刚刚美国国防部准备把千亿级别的国家安全等数据中心大单给亚马逊，这边一个路人甲就把数据不声不响地偷走，还没有激发任何的警报。你说国家怎么放心把数据交给亚马逊。

美国众议院要求亚马逊出席国会质询，确认它家的服务到底靠不靠谱安全不安全。与此同时，国防部也暂停了千亿大单的数据中心。千亿大单本身可能不是最重要的问题，毕竟亚马逊很能赚钱，这只是小钱。但是其象征意义却是巨大的。

如果亚马逊最终因为这个泄密案失去了国家的单子，那么企业们对亚马逊是不是同样信任，也会成为问题。由此导致的雪崩效应，简直无法想象。我想最开心的，一个是微软CEO Satya，睡觉有人递枕头过来。一个是Oracle的CTO Larry Elison。Larry努力说服国家不要给亚马逊订单，真是有先见之明。

总而言之，这个问题还在发酵。就看亚马逊能不能偶以技术和钱摆平眼前的难关。如果摆不平，那么微软取代亚马逊成为云计算第一也不是不可能的。总之，我也很难理解亚马逊这个号称最好的S3到底出了什么问题。

至于Capital One，这家烂银行我好几年前就停止使用了。在这事情里，它也是一无所知的天天只能叫纳尼！I FULE U。