一份匿名舉報(bào)讓一個(gè)裝滿護(hù)照照片和個(gè)人自拍的云存儲桶浮出水面，站點(diǎn)名叫“英國簽證門戶”（UK Visa Portal），實(shí)際上卻和英國政府沒有任何關(guān)系。消息人士告訴 TechCrunch，至少10萬份由簽證申請人上傳的護(hù)照掃描件和自拍照，就這么暴露在公開可訪問的亞馬遜云存儲服務(wù)器上，任何知道文件網(wǎng)址的人都能隨意查看。

事件從 TechCrunch 周二晚間收到的一封匿名郵件拉開序幕。舉報(bào)人聲稱，這個(gè)專門代辦英國簽證的商業(yè)網(wǎng)站出現(xiàn)嚴(yán)重安全漏洞，后臺的一個(gè)缺陷使得他們能夠?yàn)g覽存儲桶內(nèi)文件的完整列表，而存儲桶本身并沒有開啟公開目錄功能，文件卻依舊可以被直接訪問。換句話說，就像一座沒有門鎖的倉庫，雖然外面看不見貨物清單，但只要摸到門把手，就能一件一件地翻開所有檔案。

TechCrunch 隨即啟動了核實(shí)流程。由于無法直接從網(wǎng)站獲得公司的任何管理聯(lián)系人信息——整個(gè)站點(diǎn)既沒有安全漏洞報(bào)告渠道，也沒有列出任何負(fù)責(zé)人的名字和聯(lián)系方式——記者只能先驗(yàn)證數(shù)據(jù)的真實(shí)性。他們隨機(jī)挑選了多份文件，聯(lián)系到對應(yīng)的申請人，逐一確認(rèn)護(hù)照號碼、姓名和自拍圖像確實(shí)是本人提交。至此，這個(gè)看似普通的代辦網(wǎng)站背后的巨大數(shù)據(jù)泄露才被確認(rèn)下來。

但在 TechCrunch 發(fā)布初步報(bào)道前，編輯部做了一個(gè)平衡決定：先不公開具體的技術(shù)細(xì)節(jié)，只說明存在持續(xù)的安全事件，以最大限度地降低對個(gè)人隱私的額外風(fēng)險(xiǎn)。然后才正式聯(lián)系“英國簽證門戶”所屬公司，要求對方在報(bào)道公開前給出回應(yīng)或立即修復(fù)。然而，等來的不是問題解答，也不是承認(rèn)失誤的緊急措施，而是一封來自公司律師和公關(guān)公司的郵件。公司管理層至今沒有直接回復(fù) TechCrunch 的任何提問。

報(bào)道上線幾小時(shí)后，一直延續(xù)到周三凌晨，這批數(shù)據(jù)才被緊急保護(hù)起來。從外界看，存儲桶的訪問權(quán)限終于被收緊，公開訪問被切斷。但這并沒有解答隨之而來的兩個(gè)核心疑問：這家公司到底有沒有計(jì)劃通知這十萬余名被泄露的客戶？以及它是否按照美國各州及歐洲的數(shù)據(jù)泄露通報(bào)法律要求，向相應(yīng)的監(jiān)管機(jī)構(gòu)進(jìn)行了報(bào)告？

這次數(shù)據(jù)泄露的源頭是一臺亞馬遜云服務(wù)托管的存儲服務(wù)器，也就是業(yè)界常說的“存儲桶”。許多用戶在上傳護(hù)照和自拍時(shí)，并不知道這些文件最終會以未經(jīng)加密、可公開訪問的形式直接寫入云端。更令人擔(dān)憂的是，大量自拍照片內(nèi)嵌了拍攝時(shí)的精確地理位置信息，部分坐標(biāo)的精度甚至可以直接定位到當(dāng)事人住處所在的街道或建筑。這意味著，一個(gè)能拼湊出某人完整身份證件、面部生物特征和家庭住址的數(shù)據(jù)包，在互聯(lián)網(wǎng)上不知被多少人悄悄瀏覽過。

值得注意的是，這個(gè)名為“英國簽證門戶”的網(wǎng)站，經(jīng)常被誤認(rèn)為是英國政府的官方申請平臺。已經(jīng)有用戶反映，他們原本想通過 GOV.UK 官網(wǎng)申請簽證，卻因搜索引擎結(jié)果誤導(dǎo)進(jìn)入了這個(gè)第三方代辦網(wǎng)站，并為此支付了一筆本不該付的服務(wù)費(fèi)。現(xiàn)在這些付了錢的用戶，還要面對護(hù)照信息被長期曝光所帶來的身份冒用風(fēng)險(xiǎn)。

而這次安全事件，恰好踩在一個(gè)全球性的敏感節(jié)點(diǎn)上。最近幾周，多家公司接連暴露出因配置錯誤、而非外部網(wǎng)絡(luò)攻擊導(dǎo)致的用戶敏感身份文件泄露事件。隨著各國政府加速推出年齡驗(yàn)證法規(guī)，在線身份核驗(yàn)的需求正在全球范圍內(nèi)迅速膨脹，護(hù)照等政府簽發(fā)的身份證件被越來越多平臺收集和使用。在這種背景下，護(hù)照數(shù)據(jù)的大規(guī)模泄露，等于為潛在的欺詐和身份盜用行為敞開了大門。

整個(gè)事件的處理方式也暴露了一些中介公司在安全管理上的通病：沒有專門的安全響應(yīng)流程，沒有公開的聯(lián)系人員，面對媒體的詢問，第一時(shí)間想到的不是保護(hù)用戶，而是先搬出律師和公關(guān)團(tuán)隊(duì)。當(dāng)一個(gè)存儲著十萬余份高度敏感文件的平臺，直到被媒體公開點(diǎn)名后才匆忙補(bǔ)上防火墻，卻又拒絕向用戶坦誠交代時(shí)，它所丟失的不僅僅是數(shù)據(jù)，更是用戶對跨境服務(wù)最基本的信任。