← 返回信息流
AI 资讯Hacker News·1 天前

百万份护照数据遭泄露

原标题:One million passports leaked online

速览

互联网上出现大规模数据泄露事件,约一百万份护照信息被公开传播。此次泄露涉及大量用户的个人敏感身份信息,可能引发严重的隐私安全危机。相关机构正在调查泄露源头并评估受影响范围。

AI 深度解读

百万份护照泄露事件深度解读

背景

近期,网络安全研究员 Sammy Azdoufal 发现了一个令人震惊的数据泄露事件:近 100 万份护照和照片身份证件被 unprotected(无保护)地暴露在公共互联网上。这些敏感文件存储在公开的 URL 地址中,没有任何密码或访问控制措施。

这一事件的核心涉及一家名为 Cannabis Club Systems (CCS) 的爱尔兰公司(正式名称为 Nefos Solutions)。该公司为西班牙等地的“大麻俱乐部”提供销售、会计和准入管理的软件系统。该系统包含一个验证功能,前台接待员会将会员上传的身份证件和自拍照上传至 Nefos 的云端。此外,该公司还推出了一款名为 PuffPal 的可选应用程序,允许俱乐部通过扫描二维码实现更快的入场体验。

然而,Azdoufal 在逆向工程 PuffPal 应用后发现,Nefos 的系统存在严重的安全漏洞。这一发现不仅暴露了普通用户的隐私,还涉及名人数据以及来自全球(包括 3 万名美国游客)的访客信息。

核心内容

1. 泄露规模与内容 Azdoufal 利用自动化工具发现,超过 985,000 份照片身份证件(包括护照、驾照等)以明文形式存储在公共互联网上。这些数据不仅包含姓名和照片,还涵盖了用户的电话号码、家庭住址、护照号码、电子邮件地址,甚至包括用户在俱乐部的消费偏好(如最喜欢的“大麻品种”及月消费量)。

2. 技术漏洞细节

  • 缺乏访问控制: 身份证件存储在简单的公共 URL 中,例如:https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg。任何知道链接格式的人都可以直接访问。
  • 硬编码密钥: Azdoufal 在 PuffPal 应用中发现,Stripe 支付平台的秘密密钥以明文形式嵌入其中。
  • IDOR 漏洞(不安全的直接对象引用): 只需更改 URL 或 API 请求中的一个数字(user_id),攻击者即可查看任何会员的完整档案。
  • 弱认证机制: 管理员门户可通过公共互联网访问,且俱乐部账户使用的密码强度极低,理论上可通过现代 GPU 在几分钟内破解。
  • API 数据泄露: 即使图像被临时锁定,通过命令行发送特定 POST 请求(如 curl -X POST ...),服务器仍会返回大量个人敏感信息。

3. 涉事方反应与时间线

  • 初期忽视: Azdoufal 在五月联系 Nefos 后,公司并未立即采取行动。直到记者介入并威胁报道,Nefos 才在五天后回复。
  • 错误的修补方式: 6 月 4 日,记者发现 Azdoufal 自己的护照再次被公开。原因是 Nefos 为了不影响俱乐部运营(会员抱怨无法查看锁定后的图像),选择重新解锁图像。Nefos 联合创始人 Andreas Nilsen 承认,公司在处理危机时优先保障了客户体验,而非数据安全。
  • 最终整改: 在记者和研究员持续施压下,Nefos 于 6 月 10 日前后采取了更严格的措施,暂时关闭了整个 PuffPal 系统和易受攻击的 API。目前,护照图像和个人数据似乎已得到保护。

4. 责任归属与后续措施

  • 外包责任: Nilsen 将部分责任归咎于外包开发公司 9Series,称其负责开发 PuffPal 应用及创建有漏洞的 API。Nefos 表示已与 9Series 终止合作,并计划在几个月内推出由独立安全研究员验证的新应用。
  • 法律合规问题: 根据欧盟法律,Nefos 必须在发现泄露后的 72 小时内披露此事,否则将面临巨额罚款。Nefos 承认未遵守此规定,并预计将接受处罚。
  • 通知用户: Nefos 已通知当地当局,并表示将承担责任进行修复、支付罚款并告知用户。Nilsen 表示正在与爱尔兰数据保护委员会(DPC)沟通,以确定如何正确通知所有潜在受影响的用户。

关键要点

  • 泄露规模巨大: 超过 98.5 万份护照、驾照及身份证件被泄露,数据包含高度敏感的个人隐私信息。
  • 安全设计极度缺失: 数据存储于无保护的公共 URL,支付密钥明文存储,且存在严重的 IDOR 漏洞,表明开发阶段完全缺乏基本的安全意识。
  • 企业危机处理失误: Nefos 在得知漏洞后,因担心影响俱乐部业务而选择暂时“打补丁”而非彻底修复,导致数据在数周内反复暴露。
  • 外包开发风险: 事件暴露了依赖外包团队开发关键安全组件的风险,Nefos 已终止与 9Series 的合作。
  • 合规性失败: 公司未能在欧盟 GDPR 规定的 72 小时窗口期内披露数据泄露,将面临法律后果。
  • 行业普遍隐患: 此类事件并非孤例,此前英国签证门户也曾因类似 URL 猜测漏洞导致 10 万份护照泄露,反映出行业普遍存在的数据安全意识薄弱问题。

意义与影响

1. 对数据安全的警示 此次事件是一个典型的“低级错误导致严重后果”的案例。它提醒所有科技公司,尤其是涉及用户身份验证和支付系统的平台,必须实施严格的数据访问控制、加密存储和定期安全审计。简单的 URL 结构化和明文密钥存储是绝对不可接受的。

2. 对隐私保护的冲击 对于数百万用户而言,这不仅是一次数据泄露,更是对个人隐私的严重侵犯。护照和身份证件的泄露可能导致身份盗窃、精准诈骗甚至人身安全风险。对于名人而言,这种泄露还可能带来公众形象危机和人身安全威胁。

3. 对监管与合规的影响 Nefos 未能及时披露泄露事件,凸显了企业在面对数据危机时的侥幸心理。随着全球数据保护法规(如欧盟 GDPR)的日益严格,企业必须建立快速响应机制,确保在发现漏洞后能立即通知监管机构和用户,否则将面临巨额罚款和声誉损失。

4. 对第三方服务的信任危机 事件暴露了依赖第三方软件供应商(如 Nefos)和外包开发团队(如 9Series)的风险。用户和俱乐部应意识到,使用看似便捷的数字化工具可能伴随着巨大的数据安全隐患。未来,企业在选择技术合作伙伴时,需更加重视其安全资质和合规记录。

5. 行业反思 正如报道结尾所述,希望这能成为整个行业的一个“警钟”。从大麻俱乐部到签证门户,数据泄露的频发表明,许多组织在追求业务便利性的同时,严重忽视了数据保护的基本底线。只有将安全置于首位,才能重建用户对数字服务的信任。

相关推荐

查看原文 →theverge.com