Nefos PuffPal 数据泄露：通过未受保护的 URL 泄露一百万本护照

近一百万本来自多个欧洲国家的护照和照片身份证在公共互联网被曝光，任何拥有直接 URL 的人都可以访问。此次泄露是因为运营大麻零售商和俱乐部会员及年龄验证平台 PuffPal 的公司 Nefos，将敏感身份文件存放在公共 Web 服务器上，且没有进行身份验证、加密或访问控制。

数据存储的关键安全失误

此次曝光并非高级网络攻击或黑客入侵的结果，而是基本数据安全实践的根本失误。文件在被下线之前已被发现数月之久。

安全研究人员在 Nefos 使用的基础设施中识别出四个主要失误：

• 零身份验证： 文档存储系统没有密码保护。
• 未加密： 敏感的身份验证数据以原始、未加密的格式存储。
• 无访问控制： 文档可通过公共 URL 访问，无需任何身份验证。
• 缺乏监控： 没有访问日志或监控系统来检测未授权访问。

身份文件曝光的长期风险

与密码或信用卡号不同，政府签发的身份文件无法立即重置或撤销。这为受影响的个人留下了永久性漏洞，直至文件过期或通过冗长的官僚程序手动重新发放。

被盗的护照和驾照扫描件是犯罪分子高度价值的资产，可用于推动：

• 身份盗窃： 使用扫描件开设欺诈账户或申请信用。
• 文件伪造： 基于合法数据制作伪造文件。
• 账户接管： 使用这些身份证件绕过其他平台的身份验证检查。

数据管理与合规性分析

此事件凸显了公司在处理附属服务敏感数据时的系统性失误。在本案例中，高价值凭证（护照）被用于低价值的认证目的（大麻俱乐部的年龄验证），且在验证过程完成后仍被长期保留。

GDPR 与存储限制

根据《通用数据保护条例》（GDPR），"存储限制"原则要求个人数据不得在为实现处理目的所必需的时间之外保留。社区讨论强调，一旦用户的年龄得到验证，就没有合法理由保留其护照的完整扫描件。

“一旦文件被用于验证个人身份并确认其已达到法定年龄，就没有理由再保留该文件的副本。”

组合数据的风险

由于这些文件是从大麻相关平台泄露的，攻击者获得的不仅是身份文件，还将个人的合法身份与其在大麻俱乐部的会员关系关联，为被盗凭证增加了一层敏感个人信息。

行业影响

此泄露对任何收集身份文件进行验证的组织都是一次警示。没有实施如 NIST《计算机安全事件处理指南》中所列技术控制的“安全存储”说法并不可信。Nefos 案例中缺乏基本安全措施表明，在数据管理方面，安全和同意往往被视为服务功能需求的事后考虑，导致更广泛的失误。

摘要： 近一百万本护照和照片身份证因 Nefos（PuffPal 年龄验证平台运营商）的关键配置错误而在公共互联网被曝光。

标题： Nefos PuffPal 数据泄露：通过未受保护的 URL 泄露一百万本护照