北京
一份匿名舉報讓一個裝滿護照照片和個人自拍的云存儲桶浮出水面,站點名叫“英國簽證門戶”(UK Visa Portal),實際上卻和英國政府沒有任何關系。消息人士告訴 TechCrunch,至少10萬份由簽證申請人上傳的護照掃描件和自拍照,就這么暴露在公開可訪問的亞馬遜云存儲服務器上,任何知道文件網址的人都能隨意查看。
事件從 TechCrunch 周二晚間收到的一封匿名郵件拉開序幕。舉報人聲稱,這個專門代辦英國簽證的商業網站出現嚴重安全漏洞,后臺的一個缺陷使得他們能夠瀏覽存儲桶內文件的完整列表,而存儲桶本身并沒有開啟公開目錄功能,文件卻依舊可以被直接訪問。換句話說,就像一座沒有門鎖的倉庫,雖然外面看不見貨物清單,但只要摸到門把手,就能一件一件地翻開所有檔案。
TechCrunch 隨即啟動了核實流程。由于無法直接從網站獲得公司的任何管理聯系人信息——整個站點既沒有安全漏洞報告渠道,也沒有列出任何負責人的名字和聯系方式——記者只能先驗證數據的真實性。他們隨機挑選了多份文件,聯系到對應的申請人,逐一確認護照號碼、姓名和自拍圖像確實是本人提交。至此,這個看似普通的代辦網站背后的巨大數據泄露才被確認下來。
但在 TechCrunch 發布初步報道前,編輯部做了一個平衡決定:先不公開具體的技術細節,只說明存在持續的安全事件,以最大限度地降低對個人隱私的額外風險。然后才正式聯系“英國簽證門戶”所屬公司,要求對方在報道公開前給出回應或立即修復。然而,等來的不是問題解答,也不是承認失誤的緊急措施,而是一封來自公司律師和公關公司的郵件。公司管理層至今沒有直接回復 TechCrunch 的任何提問。
報道上線幾小時后,一直延續到周三凌晨,這批數據才被緊急保護起來。從外界看,存儲桶的訪問權限終于被收緊,公開訪問被切斷。但這并沒有解答隨之而來的兩個核心疑問:這家公司到底有沒有計劃通知這十萬余名被泄露的客戶?以及它是否按照美國各州及歐洲的數據泄露通報法律要求,向相應的監管機構進行了報告?
這次數據泄露的源頭是一臺亞馬遜云服務托管的存儲服務器,也就是業界常說的“存儲桶”。許多用戶在上傳護照和自拍時,并不知道這些文件最終會以未經加密、可公開訪問的形式直接寫入云端。更令人擔憂的是,大量自拍照片內嵌了拍攝時的精確地理位置信息,部分坐標的精度甚至可以直接定位到當事人住處所在的街道或建筑。這意味著,一個能拼湊出某人完整身份證件、面部生物特征和家庭住址的數據包,在互聯網上不知被多少人悄悄瀏覽過。
值得注意的是,這個名為“英國簽證門戶”的網站,經常被誤認為是英國政府的官方申請平臺。已經有用戶反映,他們原本想通過 GOV.UK 官網申請簽證,卻因搜索引擎結果誤導進入了這個第三方代辦網站,并為此支付了一筆本不該付的服務費。現在這些付了錢的用戶,還要面對護照信息被長期曝光所帶來的身份冒用風險。
而這次安全事件,恰好踩在一個全球性的敏感節點上。最近幾周,多家公司接連暴露出因配置錯誤、而非外部網絡攻擊導致的用戶敏感身份文件泄露事件。隨著各國政府加速推出年齡驗證法規,在線身份核驗的需求正在全球范圍內迅速膨脹,護照等政府簽發的身份證件被越來越多平臺收集和使用。在這種背景下,護照數據的大規模泄露,等于為潛在的欺詐和身份盜用行為敞開了大門。
整個事件的處理方式也暴露了一些中介公司在安全管理上的通病:沒有專門的安全響應流程,沒有公開的聯系人員,面對媒體的詢問,第一時間想到的不是保護用戶,而是先搬出律師和公關團隊。當一個存儲著十萬余份高度敏感文件的平臺,直到被媒體公開點名后才匆忙補上防火墻,卻又拒絕向用戶坦誠交代時,它所丟失的不僅僅是數據,更是用戶對跨境服務最基本的信任。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
