近百万本护照在公共互联网暴露数月,数据安全缺陷引担忧!

📅 2026/7/1 19:16:36
近百万本护照在公共互联网暴露数月,数据安全缺陷引担忧!
近期科技热点资讯汇总近期有多起科技相关事件引发关注。FortiBleed 漏洞致使 43 万台企业防火墙暴露俄罗斯黑客自 2026 年 2 月起已潜入其中NHL 和 NBA 教练赛前秘密利用可穿戴设备数据监视宿醉球员“散蛛”黑客首日认罪其于 2024 年 8 月致使伦敦交通系统瘫痪Anthropic 的 Mythos AI 模型引发政府内部秘密争端Valve 的 Steam Machine 定价危机2026 年三星和镁光将硬件价格推至 1349 美元博士音响Bose推出唱片公司业内人士称其将如 Build - a - Bear 般失败10 万个 WordPress 网站因 Gravity SMTP 插件漏洞悄然暴露 API 密钥《大西洋月刊》记者 Alex Reisner 曝光谷歌和 Stability 用于训练 AI 音乐模型的 2100 万首歌曲Subquadratic 低调亮相宣称解决限制所有大语言模型LLM的瓶颈或重塑 AIParadigm Shift 研究人员公布 usbliter8 漏洞苹果 A12 和 A13 芯片将永久受影响且无法修复Go 公司在 2026 年日本最大规模 IPO 中募资 886 亿日元其机器人出租车计划将改变一切2026 年黑客开始将间谍软件藏于违禁文本中以骗过 AI 扫描器特朗普政府于 2026 年 4 月在联邦机构悄然部署 3611 个人工智能系统未公开披露蒂姆·库克承认苹果的内存危机“难以为继”全产品线即将涨价美国移民与海关执法局ICE花费 1000 万美元从数据经纪商处购买移民税务记录无视法院命令。近百万本护照在公共互联网暴露事件嘿玩儿数据安全这一块儿的朋友们注意啦近百万本护照在公共互联网上暴露任何人只需简单网址即可访问。一名记者在网页浏览器中输入几个字母和数字便调出了一名德国年轻女子的护照接着是一名西班牙男子的护照随后又是另一名男子的驾照。所有这些文件都毫无密码、加密和访问控制地暴露在公共互联网上。关键发现来自多个国家的近百万本护照和照片 ID 通过未受保护的公共 URL 暴露任何拥有链接的人都可以访问。据报道这些文件在被下线之前以这种方式被公开发现了数月之久。此次暴露是近期记忆中规模最大的身份文件泄露事件之一其原因是数据安全实践存在根本缺陷。关键发现如下规模方面来自多个欧洲国家的近百万本护照和照片 ID 被完全无保护地留在公共网络服务器上访问方式上无需黑客攻击通过直接 URL 即可访问这些文件无需任何身份验证或加密时间线上身份文件在被发现之前已公开可访问数月这期间存在未知的潜在犯罪利用窗口。文件托管情况这些文件由大麻俱乐部使用的系统以及一家名为 Nefos 的公司托管该公司运营着 PuffPal 平台为欧洲各地的大麻零售商和俱乐部管理会员资格和年龄验证。存储这些身份文件包括完整的护照扫描件、带有照片、姓名和识别号码的驾照的基础设施被完全无保护地留在可公开访问的网络服务器上。安全研究员担忧发现此次暴露的安全研究员 Sammy Azdoufal 告诉媒体情况十分紧急“我们必须尽快采取行动因为人们会发现这些文件并转售这将造成损害。”这种担忧并非空穴来风。大量身份文件暴露在开放互联网上对犯罪分子来说具有直接价值。根据相关指导被盗的护照和驾照会助长身份盗窃、文件欺诈和账户接管攻击。近百万份身份文件为何会毫无保护地暴露此次泄露事件的重大意义不仅在于暴露的文件数量之多还在于暴露的机制一家公司收集身份验证数据表面上是为了合法的年龄限制目的却以一种将安全视为可有可无的方式存储这些数据。没有身份验证层没有速率限制没有加密只有原始的身份文件整个互联网都可以通过 URL 访问。安全漏洞包括文档存储系统无密码保护敏感身份验证数据未加密公共 URL 访问无需身份验证未设置访问日志或监控系统。这与剑桥分析公司丑闻的模式如出一辙大规模收集个人数据以合理的用例为借口却将安全和用户同意视为事后考虑。大规模身份文件被盗会有什么后果调查并未发现具体的攻击或泄露事件。没有黑客入侵没有勒索软件团伙索要赎金。这些文件只是被留在那里从设计上更准确地说是默认情况下就可以被访问。安全研究人员将这种暴露称为“配置错误”但这个术语掩盖了一个事实一家处理数百万份身份文件的公司对待这些文件的谨慎程度还不如大多数人对待公共相册。相关研究表明医疗保健行业仍然是数据安全泄露成本最高的行业之一身份文件暴露会给受影响的个人带来特别严重的长期风险。从现有报道来看发现和补救的时间线仍不清楚。这些文件后来已被下线但损害窗口即它们可访问的时间、有多少人或自动化系统可能下载了它们尚不清楚。报道中未提及 Nefos 或使用该平台的大麻俱乐部的官方声明。为何不能像更改密码一样“更换”护照对于文件被暴露的个人来说直接风险是身份盗窃。犯罪分子手中的护照和驾照扫描件可用于开设账户、申请信贷或进行文件欺诈。与重置被盗用的密码不同没有通用的“更换护照”选项。除非这些文件过期或重新颁发否则暴露是永久性的。身份文件的脆弱性体现在与密码不同政府颁发的 ID 不能立即更改或撤销文件更换需要多个国家漫长的官僚程序被盗文件可能在被发现之前被犯罪分子使用数年。更广泛的影响是任何为验证目的收集身份文件的公司都应注意“我们会安全存储”的承诺如果没有实际的技术控制是不可信的。目前尚不清楚受影响的欧洲国家监管机构是否会对 Nefos 或大麻俱乐部此次的暴露行为进行处罚以及个人是否有途径恢复身份或进行监控。此次事件反映了公司在处理敏感数据管理方面的更广泛失败。截至 2026 年 4 月中旬这些问题仍悬而未决。这不禁让人思考数据安全的保障到底该如何加强呢