近日,網上出現了一個由共享單車服務用戶上傳的超12萬份護照、駕照和身份文件的巨大寶庫。據悉,安全研究員Bob Diachenko於2月11日在一個未受保護的亞馬遜託管的存儲桶中發現了這些數據並將細節傳給了TechCrunch以努力確保數據安全。
這個存儲桶的名字表明它屬於摩拜單車,這是一家曾在中國成立的共享單車運營商。任何知道這個容易猜到的儲存桶的名字的人都可以從他們的網絡瀏覽器中瀏覽護照和身份文件庫,這些文件可以追溯到2017年且其規模每天都在增長。
據悉,桶內儲存了用戶在使用摩拜單車前必須上傳的身份文件。該桶還包含9.4萬張客戶自拍和4.9萬個客戶簽名,它們則都是被用來驗證用戶身份的。幾乎所有的身份文件都是拉丁美洲的用戶,包括阿根廷和巴西。但這些數據都沒有經過加密。
摩拜單車於2015年在北京成立,已數次易手。它曾被譽為中國的共享單車先鋒,這家蓬勃發展的創業公司在2018年被中國按需服務巨頭美團以27億美元的價格收購之前已經吸收了數十億美元的投資資金。摩拜單車在中國的業務後來被重新命名為美團單車。
摩拜單車雖然有國際化的野心,但卻陷入了困境。在被美團收購后的幾個月里,它流失了數億美元,美團後來決定剝離摩拜單車的國際業務以削減成本。雖然按照這家公司的計劃,東南亞的摩拜單車被關閉,但通過當地合作夥伴保持其在東北亞、拉丁美洲和歐洲的運行。
然而當被聯繫談論這個安全漏洞時,似乎沒有人願意對暴露的數據承擔所有權–或責任。
當TechCrunch聯繫到美團的時候,美團發言人Xiang Xi表示,該公司“與此事無關”,因為它在2019年8月出售了摩拜單車的拉丁美洲業務,但以保密協議為由拒絕透露誰收購了該公司,這讓人更難知道到底該就暴露的客戶數據聯繫誰。
然而暴露的資料桶中的許多文件都是在2019年8月之前,當時美團據說仍持有摩拜單車的所有權。
TechCrunch聯繫了一些已知跟摩拜單車有關的公共和私人電子郵件地址。許多郵件沒有得到回復,而其他郵件則以錯誤信息反彈,稱這家媒體發送的郵件無法送達。TechCrunch向WhatsApp上的摩拜單車客戶支持號碼發送了多條含有被曝光的資料桶網址的信息但也都沒有得到回應。
等到5月底,該資料桶已經被保護起來。目前還不清楚到底是誰保護了它。另外也不知道這個桶被暴露了多長時間–甚至不知道這個桶的內容是如何開始公開的。因為亞馬遜的存儲桶默認是私有的,控制存儲桶的人必須改變其權限以允許公眾訪問。
在撰寫本報告時,摩拜單車沒有在其網站或任何社交媒體上發表關於這一安全事件的聲明–實際上自2019年以來,摩拜單車一直沒有發布相關信息。