近百万份来自欧洲多国的护照、身份证和驾照扫描件因系统配置失误而被完全暴露在公共互联网上,持续数月之久。这些敏感文件由大麻俱乐部会员平台 Nefos 存储,没有任何密码保护、加密或访问控制。此次事件并非由黑客攻击导致,而是一次基础性的安全疏忽,使大量个人面临身份被盗用和证件欺诈的长期风险。
安全疏忽如何导致近百万份身份文件泄露?
此次泄露的根本原因不是复杂的黑客攻击,而是一个极其简单的错误:数据被存储在可公开访问的服务器上,没有任何安全措施。处理敏感身份验证数据的公司,本应将安全放在首位,但在此次事件中,安全几乎被完全忽略。
- 完全公开:近一百万份护照和带照片的身份证件被存放在公共网络服务器上,任何人只要有链接就能访问。
- 无需破解:获取这些文件不需要任何黑客技术,它们可以通过直接的网址访问,没有任何身份验证或加密措施。
- 长期暴露:这些文件在被发现和下线之前,已在网上存在了数月,为犯罪分子留下了未知的可利用时间窗口。
这种模式与“剑桥分析”丑闻类似:以一个看似合法的理由(此处为年龄验证)大规模收集个人数据,却将安全和用户同意视为事后才考虑的问题。
我们必须尽快采取行动,因为有人会发现这些数据并转售它们。这将会造成损害。
大规模身份文件被盗会发生什么?
当护照和驾照等身份文件大规模泄露时,它们会立即成为犯罪分子的宝贵资源。安全研究员将这种情况称为“配置失误”,但这掩盖了一个更简单的现实:一家处理数百万份身份文件的公司,对待它们的态度甚至不如普通人对待一个公开相册。
泄露的文件可被用于:
- 身份盗用:以受害者的名义开设银行账户或申请信用卡。
- 文件欺诈:伪造身份证明文件。
- 账户接管:利用个人信息侵入受害者的其他在线账户。
目前,这些文件已被下线,但损害可能已经造成。暴露了多长时间、有多少人或自动化系统下载了这些数据,仍然是未知的。
为什么护照不像密码一样可以“修改”?
对于文件被泄露的个人而言,风险是长期且难以消除的。与可以随时重置的密码不同,护照或驾照一旦泄露,其包含的个人信息就永久暴露了。
身份文件的泄露是永久性的,除非等到这些文件过期或重新签发。
更换一本护照或驾照的流程远比“忘记密码”复杂得多。在此期间,受害者必须时刻警惕自己的身份是否被盗用。这一事件也给所有收集身份文件的公司敲响了警钟:如果没有可验证的技术控制措施,“我们会安全存储数据”的承诺是不可信的。目前,尚不清楚相关国家的监管机构是否会对涉事公司进行处罚。