一百万本护照在线泄露

Hacker News Top 新闻

摘要

近百万本护照和照片身份证件来自多个欧洲国家,因负责大麻俱乐部年龄验证的公司安全措施不足,被暴露在无认证的公共URL上,数月内任何人都可访问。该泄露由安全研究员Sammy Azdoufal发现。

<a href="https:&#x2F;&#x2F;www.theverge.com&#x2F;tech&#x2F;947157&#x2F;passports-data-breach-cannabis-club-systems-nefos-puffpal" rel="nofollow">https:&#x2F;&#x2F;www.theverge.com&#x2F;tech&#x2F;947157&#x2F;passports-data-breach-c...</a><p><a href="https:&#x2F;&#x2F;www.schneier.com&#x2F;blog&#x2F;archives&#x2F;2026&#x2F;06&#x2F;one-million-passports-leaked-online.html" rel="nofollow">https:&#x2F;&#x2F;www.schneier.com&#x2F;blog&#x2F;archives&#x2F;2026&#x2F;06&#x2F;one-million-p...</a>
查看原文
查看缓存全文

缓存时间: 2026/06/29 23:08

# 近百万本护照暴露在公共互联网上——只需一个简单URL,任何人都能访问 来源:https://cambridgeanalytica.org/data-breaches-scandals/passports-driver-licenses-exposed-public-internet-2026-51096/ 一名记者在浏览器里输入几个字母和数字,就调出了一位德国年轻女性的护照。接着是一位西班牙男子的护照。然后又是一位男性的驾照。所有这些文件都存放在公共互联网上,没有密码、没有加密、没有任何访问控制。 - **近百万份身份文件如何沦为毫无保护的状态?** (https://cambridgeanalytica.org/data-breaches-scandals/passports-driver-licenses-exposed-public-internet-2026-51096/#how-did-nearly-a-million-identity-documents-end-up-unprotected) - **大规模身份文件被盗后会发生什么?** (https://cambridgeanalytica.org/data-breaches-scandals/passports-driver-licenses-exposed-public-internet-2026-51096/#what-happens-when-identity-documents-are-stolen-at-scale) - **为什么不能像改密码那样“更换”护照?** (https://cambridgeanalytica.org/data-breaches-scandals/passports-driver-licenses-exposed-public-internet-2026-51096/#why-can8217t-you-just-8220change8221-your-passport-like-a-password) 近百万份来自多个国家的护照和带照片身份证件,暴露在毫无保护的公共URL上,任何拥有链接的人都能访问。根据The Verge的报道,这些文件在被下线之前,已可被发现数月之久。此次泄露是近年来规模最大的身份文件泄露事件之一——而其根源在于数据安全实践的根本性失败。 **关键发现:** - **规模:**来自多个欧洲国家的近百万份护照和带照片身份证件,完全无保护地存放在公共网络服务器上。 - **访问方式:**无需黑客攻击——通过直接URL即可访问,没有任何身份验证或加密。 - **时间线:**身份文件在被发现前已公开可访问数月,留下了未知的潜在犯罪利用窗口。 这些文件由被大麻俱乐部及一家名为Nefos的公司所使用的系统托管。Nefos运营着PuffPal平台,该平台为欧洲各地的大麻零售商和俱乐部管理会员身份与年龄验证。存储这些身份文件的基础设施——包括完整的护照扫描件、带有照片、姓名和身份证号码的驾照——在公共网络服务器上毫无保护。 发现此次泄露的安全研究员Sammy Azdoufal告诉The Verge,情况十分紧迫:“我们必须尽快采取行动,因为人们会发现这些信息并转售它们。这将造成损害。”这种担忧并非空穴来风。大量身份文件出现在开放互联网上,对犯罪分子而言立即可被利用。根据Federal Trade Commission的指导建议,被盗的护照和驾照会助长身份盗窃、文件欺诈和账户接管攻击。 ## 近百万份身份文件如何沦为毫无保护的状态? 此次泄露在结构上的重要性不仅在于暴露文件的数量,更在于暴露的机制:一家公司收集身份验证数据——表面上是出于合法的年龄验证目的——却以将安全视为可选项的方式存储了这些数据。没有身份验证层。没有速率限制。没有加密。只有原始的身份文件,通过URL对整个互联网开放。 **安全缺陷:** - 文件存储系统完全没有密码保护 - 敏感身份验证数据未加密 - 公共URL访问无需任何身份验证 - 没有访问日志或监控系统 这反映了一种与Cambridge Analytica丑闻相似的模式:以看似合理的用例(年龄验证,而CA则是政治研究)为名,大规模积累个人数据,而安全和用户同意则被视为事后考虑。Cambridge Analytica在未获明确同意的情况下收集了数百万人的心理画像,存储并利用行为数据。而在本案中,身份文件是为年龄验证而收集的,但其存储方式如此疏忽大意,以至于任何人都可以批量下载。 ## 大规模身份文件被盗后会发生什么? The Verge的调查并未发现具体的攻击或入侵行为。没有黑客闯入。没有勒索软件团伙索要赎金。文件只是被那样放着——可被访问,这并非巧合,而是默认配置。安全研究人员将此类暴露称为“配置错误”,但这个词掩盖了事实:一家处理数百万份身份文件的公司,对它们的保管力度还不如大多数人对待一个公开相册。 发表在PMC网络安全分析中的研究表明,医疗行业仍然因数据安全漏洞承受着最高昂的成本,而身份文件暴露给受影响的个人带来了尤其严重的长期风险。 根据现有报道,发现和补救的时间线尚不明确。这些文件此后已被下线,但损害窗口——它们被访问了多久、有多少人或自动化系统可能下载了它们——仍然未知。报道中未引用Nefos或使用该平台的大麻俱乐部的任何官方声明。 ## 为什么不能像改密码那样“更换”护照? 对于文件遭泄露的个人而言,眼前的风险是身份盗窃。落入犯罪分子手中的护照和驾照扫描件可用于开设账户、申请信贷或实施文件欺诈。没有通用的“更换护照”选项,就像重置被盗的密码一样。除非这些文件过期或被重新签发,否则暴露是永久性的。 **身份文件脆弱性:** - 与密码不同,政府签发的身份证件无法立即更改或撤销 - 更换文件需要在多个国家经历漫长的官僚流程 - 被盗身份文件的犯罪使用可能在数年内都未被察觉 更广泛的影响更加尖锐:任何为验证目的而收集身份文件的公司,现在都应意识到,“我们会安全存储”并非一个可信的承诺,除非有明确的技术管控措施作为证明。NIST的计算机安全事件处理指南为此类事件确立了基线安全要求——而在本案中,这些要求完全缺失:没有密码保护,没有加密,没有访问日志。 仍悬而未决的问题是:受影响欧洲国家的监管机构是否会因这次泄露对Nefos或相关大麻俱乐部施加处罚?个人是否有任何恢复身份或获得监控服务的途径?与过去隐私丑闻中数据收集失误的结构性相似表明,这起事件反映了企业在处理敏感数据托管责任方面的更广泛失败。截至2026年4月中旬,这些问题仍然悬而未决。

相似文章

LastPass 通知用户又一起数据泄露事件

Hacker News Top

LastPass 正在通知用户一起由第三方供应商 Klue 遭到入侵导致的数据泄露事件,泄露了客户姓名、电子邮件地址和支持案例数据,但未涉及密码库。

大规模泄密事件泄露数千个敏感网络凭证

Ars Technica

一起大规模泄密事件暴露了包括一家北约国防承包商在内的数千个敏感网络的凭证,攻击者使用一个45-GPU集群破解VPN认证哈希,并入侵了Active Directory环境。

# 我的社会安全号码在哥伦比亚大学的数据泄露事件中被暴露——而我与这所学校毫无关联 这是一种令人沮丧且遗憾相当普遍的情况。以下是原因及应对方法: ## 为什么会发生这种情况 你的信息可能通过以下途径出现在哥伦比亚大学的系统中: - **第三方关系**:你可能使用过与哥伦比亚大学有合作的雇主、医疗机构或金融机构 - **学生贷款服务机构**:联邦学生贷款数据有时会被共享给多个机构 - **研究或临床试验**:即使是很久以前参与过的项目 - **家庭成员关联**:你的家人曾就读或受雇于该校 - **数据经纪商**:他们将数据出售给各类机构 - **历史记录**:例如申请记录,即使从未入学 ## 立即采取的措施 ### 优先级最高 - **冻结你的信用报告**,覆盖三大信用局:Equifax、Experian、TransUnion(免费且有效) - **在 annualcreditreport.com 查看你的信用报告**,确认是否有可疑账户 - **向 IdentityTheft.gov 提交举报**(美国联邦贸易委员会) ### 其次 - **申请 IRS 身份保护 PIN 码**,防止有人用你的社安号虚报税务 - **监控现有账户**,留意异常活动 - **保存哥伦比亚大学发送的所有通知**,留存记录备用 ## 关于信用冻结 信用冻结是目前**最有效的保护手段**。它不会影响你的现有账户,只是阻止他人以你的名义开设新账户。 你是否已经收到了哥伦比亚大学的官方通知?

Ars Technica

一名记者发现自己的社会安全号码(SSN)在哥伦比亚大学2024年数据泄露事件中遭到曝光,而她与该校毫无关联。这一事件揭露了哥伦比亚大学通过数十年的第三方数据收集,囤积了数百万非关联人员个人信息的事实。哥伦比亚大学最终承认,此次泄露波及范围超出了其在校学生和员工,共有180万个社会安全号码遭到泄露。