Nefos PuffPal 資料外洩:一百萬本護照透過未受保護的 URL 被洩漏
Nefos PuffPal 資料外洩:一百萬本護照透過未受保護的 URL 被洩漏
近一百萬本來自多個歐洲國家的護照與照片身分證在公共網路上被曝光,任何取得直接 URL 的人皆可存取。此漏洞發生是因為 Nefos——負責為大麻零售商與俱樂部提供 PuffPal 會員與年齡驗證平台的公司——將敏感身分文件儲存在未經驗證、未加密、亦無存取控制的公共網路伺服器上。
資料儲存的關鍵安全失敗
此外洩並非因為高度複雜的網路攻擊或駭客入侵,而是基本資料安全作法的根本失敗。這些文件在被下線前已在網路上可被發現數月之久。
安全研究人員指出 Nefos 基礎設施的四大主要失敗:
- 零驗證:文件儲存系統沒有任何密碼保護。
- 未加密:敏感的身分驗證資料以原始、未加密的格式儲存。
- 無存取控制:文件可透過公共 URL 直接存取,且不需任何驗證。
- 缺乏監控:未設置存取日誌或監控系統以偵測未授權存取。
身分文件外洩的長期風險
與密碼或信用卡號不同,政府發行的身分文件無法即時重置或撤銷。這使受影響的個人面臨永久性的風險,直至文件過期或透過冗長的官僚程序重新發行。
被盜的護照與駕照掃描圖是犯罪分子極具價值的資產,可用於:
- 身分盜用:利用掃描圖開設詐騙帳號或申請信用。
- 文件偽造:以合法資料製作偽造文件。
- 帳號劫持:利用這些身分證件繞過其他平台的身分驗證檢查。
資料治理與合規性分析
此事件凸顯公司在處理附屬服務敏感資料時的系統性失敗。在此案例中,一項高價值憑證(護照)被用於低價值的驗證目的(大麻俱樂部的年齡驗證),且在驗證完成後仍被長期保存。
GDPR 與資料保存限制
根據《一般資料保護規則》(GDPR),「資料保存限制」原則要求個人資料不得保存超過處理目的所需的時間。社群討論指出,一旦使用者的年齡得到驗證,就沒有合法理由保留其護照的完整掃描檔。
「一旦文件被用來驗證個人的身分與其合法年齡,就沒有理由再保留該文件的副本。」
結合資料的風險
因為這些文件是從大麻相關平台洩漏的,攻擊者不僅取得身分文件,還能將個人的合法身分與其在大麻俱樂部的會員關係關聯起來,為被盜憑證增添一層敏感個人資訊。
產業影響
此洩漏對任何收集身分文件以進行驗證的組織都是警示。若未實施如 NIST《電腦安全事件處理指南》中所列的技術控制,所謂的「安全儲存」說法毫無可信度。Nefos 案例中缺乏基本安全措施,顯示出資料治理的更廣泛失敗——安全與同意被視為服務功能需求之後的附帶考量。
摘要:近一百萬本護照與照片身分證因 Nefos(PuffPal 年齡驗證平台的營運者)的一項關鍵錯誤設定而在公共互聯網上被曝光。
標題:Nefos PuffPal 資料外洩:一百萬本護照透過未受保護的 URL 被洩漏