近日,网上出现了一个由共享单车服务用户上传的超12万份护照、驾照和身份文件的巨大宝库。据悉,安全研究员Bob Diachenko于2月11日在一个未受保护的亚马逊托管的存储桶中发现了这些数据并将细节传给了TechCrunch以努力确保数据安全。
这个存储桶的名字表明它属于摩拜单车,这是一家曾在中国成立的共享单车运营商。任何知道这个容易猜到的储存桶的名字的人都可以从他们的网络浏览器中浏览护照和身份文件库,这些文件可以追溯到2017年且其规模每天都在增长。
据悉,桶内储存了用户在使用摩拜单车前必须上传的身份文件。该桶还包含9.4万张客户自拍和4.9万个客户签名,它们则都是被用来验证用户身份的。几乎所有的身份文件都是拉丁美洲的用户,包括阿根廷和巴西。但这些数据都没有经过加密。
摩拜单车于2015年在北京成立,已数次易手。它曾被誉为中国的共享单车先锋,这家蓬勃发展的创业公司在2018年被中国按需服务巨头美团以27亿美元的价格收购之前已经吸收了数十亿美元的投资资金。摩拜单车在中国的业务后来被重新命名为美团单车。
摩拜单车虽然有国际化的野心,但却陷入了困境。在被美团收购后的几个月里,它流失了数亿美元,美团后来决定剥离摩拜单车的国际业务以削减成本。虽然按照这家公司的计划,东南亚的摩拜单车被关闭,但通过当地合作伙伴保持其在东北亚、拉丁美洲和欧洲的运行。
然而当被联系谈论这个安全漏洞时,似乎没有人愿意对暴露的数据承担所有权或责任。
当TechCrunch联系到美团的时候,美团发言人Xiang Xi表示,该公司“与此事无关”,因为它在2019年8月出售了摩拜单车的拉丁美洲业务,但以保密协议为由拒绝透露谁收购了该公司,这让人更难知道到底该就暴露的客户数据联系谁。
然而暴露的资料桶中的许多文件都是在2019年8月之前,当时美团据说仍持有摩拜单车的所有权。
TechCrunch联系了一些已知跟摩拜单车有关的公共和私人电子邮件地址。许多邮件没有得到回复,而其他邮件则以错误信息反弹,称这家媒体发送的邮件无法送达。TechCrunch向WhatsApp上的摩拜单车客户支持号码发送了多条含有被曝光的资料桶网址的信息但也都没有得到回应。
等到5月底,该资料桶已经被保护起来。目前还不清楚到底是谁保护了它。另外也不知道这个桶被暴露了多长时间--甚至不知道这个桶的内容是如何开始公开的。因为亚马逊的存储桶默认是私有的,控制存储桶的人必须改变其权限以允许公众访问。
在撰写本报告时,摩拜单车没有在其网站或任何社交媒体上发表关于这一安全事件的声明--实际上自2019年以来,摩拜单车一直没有发布相关信息。