企业官网建设流程全解析

惊人发现：公共网络上的身份证件信息

我在浏览器输入几个字母和数字后，竟看到完全陌生之人的身份证件，包括德国年轻女子的护照、西班牙男子的护照，还有一名男子驾照的正反两面。这些信息毫无防护地存放在公开的 URL 上，无密码或访问控制，发个链接就能看到某人护照。

安全研究员的警告

安全研究员萨米·阿兹杜法尔 5 月称，他发现超 98.5 万张照片形式的身份证件存于公共网络，任何稍有能力的黑客都能窃取。他还表示，去过西班牙大麻俱乐部的人的照片身份证件很可能在其中，数据库里还有明星及来自世界各地的访客信息，包括 3 万来自美国的访客。

问题根源：软件安全漏洞

一家名为 Cannabis Club Systems（CCS，前身为 Nefos Solutions）的爱尔兰公司，开发并提供俱乐部用于销售、会计和入场管理的软件，其中包括验证系统，接待人员会将身份证件和自拍上传到 Nefos 的云端。但阿兹杜法尔对 PuffPal 应用程序反编译时发现，Nefos 几乎无有效安全措施，应用程序里明文存储着 Stripe 支付平台的密钥，更改一个数字就能调出任何会员资料。那些护照、驾照和照片身份证件存于简单的公开 URL 上，俱乐部每天通过不安全的 URL 上传 5000 张新照片身份证件。此外，还有可通过公共网络访问的管理门户，大麻俱乐部自身账户安全级别极低，密码用现代 GPU 几分钟就能破解，俱乐部和会员通过 PuffPal 应用程序的私人聊天信息也易受攻击。

Nefos 的行动与问题反复

联系 Nefos 约一个月后，该公司似乎开始采取有效行动，将关闭整个 PuffPal 系统和易受攻击的 API。6 月 10 日测试显示，护照图片和个人数据似乎已得到保护，Nefos 也通知了当地当局并承担相应责任。但 Nefos 花了很长时间才认真对待威胁，一开始试图掩盖问题。6 月初锁定护照图片后又因俱乐部抱怨解锁，6 月 9 日发现用户资料中其他信息仍易获取，告知 Nefos 后该漏洞已修复。

责任归属与后续计划

Nefos 联合创始人安德烈亚斯·尼尔森指责外包公司 9Series 负责开发 PuffPal 应用程序并创建易受攻击的 API（截至发稿时，9Series 未作回应）。现在 PuffPal 已停用，Nefos 给俱乐部发邮件告知会员不能用二维码入场，但仍可通过扫描 RFID 卡或输入电话号码等调出身份证件。尼尔森声称不会简单重新推出不安全的 PuffPal，会确保由独立安全研究员验证并保证 100%安全，Nefos 正在与 9Series 分道扬镳，并希望几个月内推出新应用程序。此外，尼尔森知道公司未按欧盟法律在 72 小时内披露数据泄露事件会面临巨额罚款。上个月，UK Visa Portal 网站也出现类似情况，希望能给大家敲响警钟。