惊人发现公共网络上的身份证件信息我在浏览器输入几个字母和数字后竟看到完全陌生之人的身份证件包括德国年轻女子的护照、西班牙男子的护照还有一名男子驾照的正反两面。这些信息毫无防护地存放在公开的 URL 上无密码或访问控制发个链接就能看到某人护照。安全研究员的警告安全研究员萨米·阿兹杜法尔 5 月称他发现超 98.5 万张照片形式的身份证件存于公共网络任何稍有能力的黑客都能窃取。他还表示去过西班牙大麻俱乐部的人的照片身份证件很可能在其中数据库里还有明星及来自世界各地的访客信息包括 3 万来自美国的访客。问题根源软件安全漏洞一家名为 Cannabis Club SystemsCCS前身为 Nefos Solutions的爱尔兰公司开发并提供俱乐部用于销售、会计和入场管理的软件其中包括验证系统接待人员会将身份证件和自拍上传到 Nefos 的云端。但阿兹杜法尔对 PuffPal 应用程序反编译时发现Nefos 几乎无有效安全措施应用程序里明文存储着 Stripe 支付平台的密钥更改一个数字就能调出任何会员资料。那些护照、驾照和照片身份证件存于简单的公开 URL 上俱乐部每天通过不安全的 URL 上传 5000 张新照片身份证件。此外还有可通过公共网络访问的管理门户大麻俱乐部自身账户安全级别极低密码用现代 GPU 几分钟就能破解俱乐部和会员通过 PuffPal 应用程序的私人聊天信息也易受攻击。Nefos 的行动与问题反复联系 Nefos 约一个月后该公司似乎开始采取有效行动将关闭整个 PuffPal 系统和易受攻击的 API。6 月 10 日测试显示护照图片和个人数据似乎已得到保护Nefos 也通知了当地当局并承担相应责任。但 Nefos 花了很长时间才认真对待威胁一开始试图掩盖问题。6 月初锁定护照图片后又因俱乐部抱怨解锁6 月 9 日发现用户资料中其他信息仍易获取告知 Nefos 后该漏洞已修复。责任归属与后续计划Nefos 联合创始人安德烈亚斯·尼尔森指责外包公司 9Series 负责开发 PuffPal 应用程序并创建易受攻击的 API截至发稿时9Series 未作回应。现在 PuffPal 已停用Nefos 给俱乐部发邮件告知会员不能用二维码入场但仍可通过扫描 RFID 卡或输入电话号码等调出身份证件。尼尔森声称不会简单重新推出不安全的 PuffPal会确保由独立安全研究员验证并保证 100%安全Nefos 正在与 9Series 分道扬镳并希望几个月内推出新应用程序。此外尼尔森知道公司未按欧盟法律在 72 小时内披露数据泄露事件会面临巨额罚款。上个月UK Visa Portal 网站也出现类似情况希望能给大家敲响警钟。