一家给全美监狱提供通话设备的公司,把30万人的驾照扫描件“晒”在了公网上。你没听错,服务商的名字叫Pay Tel,它们管着囚犯和家人的每一次通话,但却管不好自己的一台云服务器。好消息是,这个装满驾驶员证和其他政府签发身份证件的箱子,终于被锁上了;坏消息是,没人知道它在太阳底下敞了多久。
安全公司UpGuard的研究员在一篇博客里抖出了这个发现。他们定位到一台托管在微软Azure上的存储服务器,里面至少躺着30万份Pay Tel用户的驾照扫描件。这台机器没设密码。没有锁,没有门禁,任何人只要摸到地址,就能从网上直接调取这些数据。研究员把整个场景描述得相当克制,但事实本身已经足够尖锐。
Pay Tel的生意横跨大半个美国。他们向监狱投放平板电脑和其他通信设备,囚犯靠这些终端才能往外拨电话。想注册Pay Tel的家属,必须先上传身份证件副本和一张个人头像照片。UpGuard证实,泄露的池子里就泡着这些注册材料。更糟的是,这口“数据锅”里还煮着囚犯的通信内容:文字消息、手写便条、财务记录,一个都没落下。等于说,你为了给狱中亲人打个电话交上去的一切,都可能被人随手翻看。
这场事故事实上把两个完全不同的隐私圈层放在了一口锅里炖。圈层一:普通人如你我,交驾照是为了证明“我是我”。但在这个场景下,你的驾照就等于你的通话账户,等于你和某个服刑人员的关联档案。圈层二:囚犯,他们的通信内容在法律上有特殊保护边界,现在却和家属的身份文件摆在同一台无密码服务器上。UpGuard的发现之所以刺眼,正是因为它同时戳破了这两层期望——对身份证明保密,对狱中通信保密。
研究员尝试当一回好人。5月7日,UpGuard判定这台服务器归Pay Tel管理后,向公司发出了警报。等了好几天没动静,他们又追了一次。终于在某个时间点,服务器被悄然加固。可直到安全公司公开发布博文的当下,Pay Tel都没有正式认领这起事件。面对媒体质询,公司总裁Vincent Townsend也保持静默,没回TechCrunch的邮件。而这种沉默,本身就成了第二份事故报告——关于企业如何处理危机的事故报告。
泄露的影像资料里还藏着一枚更细碎的定时炸弹。UpGuard指出,大量用户上传的照片嵌入了精确到现实世界的拍摄地点坐标。部分案例里,这些地理信息甚至能一路定位到某个具体的家庭住址。想象一下:你按要求上传一张端正的头像照,顺手拿驾照拍个认证,却顺手把自己的家庭地址也交给了潜在的浏览者。这不是黑客攻击,这是你把刻着住址的钥匙忘在了公园长椅上。
Pay Tel这种“忘关门”的行为,在最近几个月里已经不是孤例。TechCrunch追踪了很长一段时间的怪现象:科技公司似乎形成了一种习惯,总是把自己的系统配错,或者干脆踩在网络安全最佳实践的及格线以下。结果是,客户的个人资料变成了公网上任何一个路人都能查阅的展品。今年6月,Pay Tel刚被一记勒索软件砸中,那是两年里第二回登上安全新闻。现在数据泄露又添一笔,这家公司的安全履历已经不能用“偶尔失手”来解释。
有意思的是,TechCrunch的记者试图搞清楚Pay Tel内部到底谁在管网络安全,结论是:查不出来。这家公司明面上没有信息安全负责人的头衔浮现,你找不到哪个高管的LinkedIn简介上写着“安全是我的事情”。在政府签发的身份证件和囚犯通信记录面前,“不清楚谁为安全负责”这句话,听起来比密码为空的服务器还荒诞。
现在一个悬而未决的问题卡在各方都不愿触碰的灰色地带:Pay Tel打算通知那些数据被曝光的人吗?美国各州的数据泄露通知法有明明白白的规定,企业该在什么时间节点向总检察长和受影响个体发出警报。可一旦企业选择不吱声,那些驾照被摊在网上的30万人永远不会知道,他们的身份证件曾经在某个Azure URL里裸奔。目前,没有任何信号显示Pay Tel发出了这样一个通知。
人们习惯认为,在押人员的通信系统会受到比商业App更严格的隐私照看——毕竟这是把人关在一个物理牢笼里,总不能让他们的数字隐私也被扔进另一个牢笼。Pay Tel这次的事件刚好戳破了这层想象。从驾照到情书,从银行流水到家庭地址,这沓文件出逃的方式没有任何技术含量,它就是被放在那儿,没上锁。而真正让人后背发凉的,不是技术出了多大漏洞,是这个负责“连接”的公司,切断了与自己用户之间的基本信任连接。
热门跟贴