北京
一家給全美監獄提供通話設備的公司,把30萬人的駕照掃描件“曬”在了公網上。你沒聽錯,服務商的名字叫Pay Tel,它們管著囚犯和家人的每一次通話,但卻管不好自己的一臺云服務器。好消息是,這個裝滿駕駛員證和其他政府簽發身份證件的箱子,終于被鎖上了;壞消息是,沒人知道它在太陽底下敞了多久。
安全公司UpGuard的研究員在一篇博客里抖出了這個發現。他們定位到一臺托管在微軟Azure上的存儲服務器,里面至少躺著30萬份Pay Tel用戶的駕照掃描件。這臺機器沒設密碼。沒有鎖,沒有門禁,任何人只要摸到地址,就能從網上直接調取這些數據。研究員把整個場景描述得相當克制,但事實本身已經足夠尖銳。
Pay Tel的生意橫跨大半個美國。他們向監獄投放平板電腦和其他通信設備,囚犯靠這些終端才能往外撥電話。想注冊Pay Tel的家屬,必須先上傳身份證件副本和一張個人頭像照片。UpGuard證實,泄露的池子里就泡著這些注冊材料。更糟的是,這口“數據鍋”里還煮著囚犯的通信內容:文字消息、手寫便條、財務記錄,一個都沒落下。等于說,你為了給獄中親人打個電話交上去的一切,都可能被人隨手翻看。
這場事故事實上把兩個完全不同的隱私圈層放在了一口鍋里燉。圈層一:普通人如你我,交駕照是為了證明“我是我”。但在這個場景下,你的駕照就等于你的通話賬戶,等于你和某個服刑人員的關聯檔案。圈層二:囚犯,他們的通信內容在法律上有特殊保護邊界,現在卻和家屬的身份文件擺在同一臺無密碼服務器上。UpGuard的發現之所以刺眼,正是因為它同時戳破了這兩層期望——對身份證明保密,對獄中通信保密。
研究員嘗試當一回好人。5月7日,UpGuard判定這臺服務器歸Pay Tel管理后,向公司發出了警報。等了好幾天沒動靜,他們又追了一次。終于在某個時間點,服務器被悄然加固。可直到安全公司公開發布博文的當下,Pay Tel都沒有正式認領這起事件。面對媒體質詢,公司總裁Vincent Townsend也保持靜默,沒回TechCrunch的郵件。而這種沉默,本身就成了第二份事故報告——關于企業如何處理危機的事故報告。
泄露的影像資料里還藏著一枚更細碎的定時炸彈。UpGuard指出,大量用戶上傳的照片嵌入了精確到現實世界的拍攝地點坐標。部分案例里,這些地理信息甚至能一路定位到某個具體的家庭住址。想象一下:你按要求上傳一張端正的頭像照,順手拿駕照拍個認證,卻順手把自己的家庭地址也交給了潛在的瀏覽者。這不是黑客攻擊,這是你把刻著住址的鑰匙忘在了公園長椅上。
Pay Tel這種“忘關門”的行為,在最近幾個月里已經不是孤例。TechCrunch追蹤了很長一段時間的怪現象:科技公司似乎形成了一種習慣,總是把自己的系統配錯,或者干脆踩在網絡安全最佳實踐的及格線以下。結果是,客戶的個人資料變成了公網上任何一個路人都能查閱的展品。今年6月,Pay Tel剛被一記勒索軟件砸中,那是兩年里第二回登上安全新聞。現在數據泄露又添一筆,這家公司的安全履歷已經不能用“偶爾失手”來解釋。
有意思的是,TechCrunch的記者試圖搞清楚Pay Tel內部到底誰在管網絡安全,結論是:查不出來。這家公司明面上沒有信息安全負責人的頭銜浮現,你找不到哪個高管的LinkedIn簡介上寫著“安全是我的事情”。在政府簽發的身份證件和囚犯通信記錄面前,“不清楚誰為安全負責”這句話,聽起來比密碼為空的服務器還荒誕。
現在一個懸而未決的問題卡在各方都不愿觸碰的灰色地帶:Pay Tel打算通知那些數據被曝光的人嗎?美國各州的數據泄露通知法有明明白白的規定,企業該在什么時間節點向總檢察長和受影響個體發出警報。可一旦企業選擇不吱聲,那些駕照被攤在網上的30萬人永遠不會知道,他們的身份證件曾經在某個Azure URL里裸奔。目前,沒有任何信號顯示Pay Tel發出了這樣一個通知。
人們習慣認為,在押人員的通信系統會受到比商業App更嚴格的隱私照看——畢竟這是把人關在一個物理牢籠里,總不能讓他們的數字隱私也被扔進另一個牢籠。Pay Tel這次的事件剛好戳破了這層想象。從駕照到情書,從銀行流水到家庭地址,這沓文件出逃的方式沒有任何技術含量,它就是被放在那兒,沒上鎖。而真正讓人后背發涼的,不是技術出了多大漏洞,是這個負責“連接”的公司,切斷了與自己用戶之間的基本信任連接。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
