堆代码讯 任何人只要打开浏览器，不用密码，就能直接拿走数十万用户的驾照、护照乃至转账记录 —— 这不是什么科幻里的黑客攻击，只是加拿大一家金融科技公司，把用户的敏感数据，就这么公开摆在了网上，裸奔了整整 5 年。近日，安全研究员阿努拉格・森（CyPeace 成员）在排查安全漏洞时，发现了一个托管在亚马逊云的公开存储服务器：这个服务器没有任何访问限制，不用密码、不用权限，任何人只要知道那个极易猜测的网址，就能直接浏览、下载里面的所有文件。而这些文件，全部来自多伦多金融科技公司 Duales 旗下的转账应用 Duc—— 这是一款主打跨境转账、尤其是向古巴等地区转账的金融服务应用。

森在发现漏洞后，因为无法联系到应用的负责人，只能找到 TechCrunch 求助。根据他的统计，这个存储桶里足足存放了超过 36 万个文件，全部是 Duc 应用收集的用户身份信息：用户为了完成 “了解你的客户”（KYC）身份验证上传的驾照、护照等政府签发证件，用来证明身份的自拍照，甚至还有记录了客户姓名、家庭住址、交易日期时间和详情的电子表格。

更可怕的是，这些数据全部以未加密的形式存储，任何人拿到链接就能直接查看完整内容。这些文件最早可以追溯到 2020 年 9 月，而且直到漏洞被发现前，每天都有新的用户文件上传到这个公开服务器里 —— 也就是说，整整 5 年时间里，这些最敏感的身份和金融数据，就这么对全世界敞开着，任何有心人都能随便拿走。

TechCrunch 的抽样检查也证实了这一点，存储桶里的多个文件夹各自存放了数万个用户文件，其中确实包含了大量的驾照、护照和用户自拍照。虽然暂时无法统计确切的受影响人数，但 Duc 应用在谷歌 Play 商店的下载量就已经超过了 10 万次，而存储桶里的文件数量更是超过 36 万，意味着可能有数十万用户的信息已经暴露。

直到 TechCrunch 联系了 Duales 的首席执行官亨利・马丁内斯・冈萨雷斯，这家公司才终于在周二匆匆修复了这个漏洞。但公司的回应，却充满了敷衍和离谱：CEO 只是含糊地说，这些数据存放在一个用来测试的 “暂存站点” 上，却完全没解释，为什么真实用户的敏感身份信息，会出现在一个公开的测试服务器里。他甚至还说：“所有保护措施均已到位。我们正在通知相关方。我们没有与您签订任何服务合同。” 

言下之意，TechCrunch 的提醒根本多管闲事？哪怕在修复之后，这个存储服务器的问题也没完全解决：虽然用户已经不能下载文件了，但服务器的内容列表依然可以公开访问。更令人不安的是，当 TechCrunch 问起，公司有没有日志能查到，过去 5 年里到底有多少人、有没有黑客已经访问过这些数据时，CEO 直接拒绝回应 —— 也就是说，直到现在，这家公司都不知道，这些用户的身份信息，有没有已经被黑客偷走，有没有被用来做诈骗或者身份盗窃。事发后，Duc 的网站还在周四短暂下线，显示 “错误网关”，更让用户的不安雪上加霜。

事实上，这种把云存储桶配成公开的低级错误，早已不是第一次出现。哪怕亚马逊早就针对这类问题增加了安全检查，防止用户不小心把敏感数据公开，还是有无数企业踩坑，哪怕是美国的间谍机构，都曾经犯过一模一样的错误。

目前，TechCrunch 已经把这起事件通知了加拿大的隐私监管机构，加拿大隐私专员办公室已经回应，正在联系这家公司了解情况，确定后续的处理步骤。
而这起事件，只是近期一系列身份数据泄露事件的最新一起。越来越多的应用和网站，为了身份验证、年龄验证，要求用户上传驾照、护照这类最敏感的身份文件，但却根本没做好这些数据的保护：去年，社交应用 TeaOnHer 暴露了数千名用户的护照驾照，Discord 也曝出有 7 万用户的身份证件泄露，都是因为平台收集了用户的敏感信息，却用最敷衍的方式存储，最终让用户的身份暴露在风险之中。当越来越多的平台把 “上传你的证件” 变成标配，谁来保护这些被收走的隐私，已经成了所有人都要面对的问题。