一份匿名举报让一个装满护照照片和个人自拍的云存储桶浮出水面,站点名叫“英国签证门户”(UK Visa Portal),实际上却和英国政府没有任何关系。消息人士告诉 TechCrunch,至少10万份由签证申请人上传的护照扫描件和自拍照,就这么暴露在公开可访问的亚马逊云存储服务器上,任何知道文件网址的人都能随意查看。
事件从 TechCrunch 周二晚间收到的一封匿名邮件拉开序幕。举报人声称,这个专门代办英国签证的商业网站出现严重安全漏洞,后台的一个缺陷使得他们能够浏览存储桶内文件的完整列表,而存储桶本身并没有开启公开目录功能,文件却依旧可以被直接访问。换句话说,就像一座没有门锁的仓库,虽然外面看不见货物清单,但只要摸到门把手,就能一件一件地翻开所有档案。
TechCrunch 随即启动了核实流程。由于无法直接从网站获得公司的任何管理联系人信息——整个站点既没有安全漏洞报告渠道,也没有列出任何负责人的名字和联系方式——记者只能先验证数据的真实性。他们随机挑选了多份文件,联系到对应的申请人,逐一确认护照号码、姓名和自拍图像确实是本人提交。至此,这个看似普通的代办网站背后的巨大数据泄露才被确认下来。
但在 TechCrunch 发布初步报道前,编辑部做了一个平衡决定:先不公开具体的技术细节,只说明存在持续的安全事件,以最大限度地降低对个人隐私的额外风险。然后才正式联系“英国签证门户”所属公司,要求对方在报道公开前给出回应或立即修复。然而,等来的不是问题解答,也不是承认失误的紧急措施,而是一封来自公司律师和公关公司的邮件。公司管理层至今没有直接回复 TechCrunch 的任何提问。
报道上线几小时后,一直延续到周三凌晨,这批数据才被紧急保护起来。从外界看,存储桶的访问权限终于被收紧,公开访问被切断。但这并没有解答随之而来的两个核心疑问:这家公司到底有没有计划通知这十万余名被泄露的客户?以及它是否按照美国各州及欧洲的数据泄露通报法律要求,向相应的监管机构进行了报告?
这次数据泄露的源头是一台亚马逊云服务托管的存储服务器,也就是业界常说的“存储桶”。许多用户在上传护照和自拍时,并不知道这些文件最终会以未经加密、可公开访问的形式直接写入云端。更令人担忧的是,大量自拍照片内嵌了拍摄时的精确地理位置信息,部分坐标的精度甚至可以直接定位到当事人住处所在的街道或建筑。这意味着,一个能拼凑出某人完整身份证件、面部生物特征和家庭住址的数据包,在互联网上不知被多少人悄悄浏览过。
值得注意的是,这个名为“英国签证门户”的网站,经常被误认为是英国政府的官方申请平台。已经有用户反映,他们原本想通过 GOV.UK 官网申请签证,却因搜索引擎结果误导进入了这个第三方代办网站,并为此支付了一笔本不该付的服务费。现在这些付了钱的用户,还要面对护照信息被长期曝光所带来的身份冒用风险。
而这次安全事件,恰好踩在一个全球性的敏感节点上。最近几周,多家公司接连暴露出因配置错误、而非外部网络攻击导致的用户敏感身份文件泄露事件。随着各国政府加速推出年龄验证法规,在线身份核验的需求正在全球范围内迅速膨胀,护照等政府签发的身份证件被越来越多平台收集和使用。在这种背景下,护照数据的大规模泄露,等于为潜在的欺诈和身份盗用行为敞开了大门。
整个事件的处理方式也暴露了一些中介公司在安全管理上的通病:没有专门的安全响应流程,没有公开的联系人员,面对媒体的询问,第一时间想到的不是保护用户,而是先搬出律师和公关团队。当一个存储着十万余份高度敏感文件的平台,直到被媒体公开点名后才匆忙补上防火墙,却又拒绝向用户坦诚交代时,它所丢失的不仅仅是数据,更是用户对跨境服务最基本的信任。
热门跟贴