近百萬證件相公開上網:上載身份證之前,要問清楚三件事
Tech News

近百萬證件相公開上網:上載身份證之前,要問清楚三件事

圖片:via The Verge — https://www.theverge.com/tech/947157/passports-data-breach-cannabis-club-systems-nefos-puffpal
TechLab 編輯部(譯)·

唔係所有 KYC 都出事,但公開 URL 呢種錯好低級

先講件事

The Verge 報道,安全研究員 Sammy Azdoufal 發現 Cannabis Club Systems(亦即 Nefos Solutions)旗下驗證系統同 PuffPal app 有嚴重設計失誤,近 98.5 萬張護照、駕駛執照同其他相片身份證明文件曾經喺冇密碼、冇 access control 嘅公開 URL 暴露。涉事服務主要畀西班牙等地嘅 cannabis club 做入場、銷售、會籍同身份驗證;The Verge 話 2026 年 6 月 10 日再測時,證件圖同個人資料似乎已經鎖返。

真正刺眼嘅位唔係「又有黑客入侵」,而係做法太低級。據報研究員唔需要偷密碼,已經可以靠可預測嘅連結同鬆散 API 見到會員 profile;資料唔止證件相,仲可能有電話、住址、email、護照號碼、偏好同消費紀錄。身份文件唔似密碼,漏咗冇得改,之後可以畀人拎去開戶、撞庫式詐騙、釣魚,或者做更完整嘅社交工程。

CCS 官方頁本身就係賣一整套 club 管理:軟件、硬件、入場、RFID、面容辨識、會員 app。PuffPal 官方頁亦主打 QR code 入場、預先登記、profile、club list 同 chat。呢類產品最大賣點係快,但快通常代表更多資料集中喺同一個 backend;一旦 access control 出錯,後果可以由單一店舖一疊影印本,升級做成套供應鏈一齊中招。

公司反應亦值得記低。The Verge 話研究員通知後,公司一度只係補洞,仲因為 club 投訴圖片顯示唔到而重新放寬存取;到 2026 年 6 月 9 日,profile 內其他敏感資料仍可畀人讀到。Nefos co-founder Andreas Nilsen 之後話已通知愛爾蘭 Data Protection Commission、會承擔修補同罰款,並承認 GDPR 下 72 小時通報要求冇做好。佢又將部份責任指向外判開發商 9Series,但資料控制者最終都走唔甩責任。

呢單未有證據指向香港用戶或香港服務直接中招,但借鏡價值好實際。喺香港開銀行戶口、證券戶口、電訊上台、租借工具、共享工作間、跨境平台,成日都會叫你上載身份證、護照、自拍認證;私隱專員公署嘅 HKID 指引講得好清楚,除非有法律授權,機構冇權強迫你交身份證副本,收咗副本亦要只為原本目的使用,並用加密、密碼、限制存取等方法保護。問題係一般用戶睇唔到後台有冇做到,所以少交一份,就少一個長尾風險。

PuffPal 官方頁展示會員 club list 嘅 app 畫面

圖片:PuffPal

PuffPal 官方頁展示預先登記功能嘅 app 畫面

圖片:PuffPal

用戶可以點收窄風險

實際做法唔複雜,但要喺上載前問多兩句:

  • 非必要就唔交完整證件;服務接受現場核對、用途水印、遮住非必要欄位,就用低風險方法。
  • 已交資料就問保存期、刪除方法、第三方處理商名單,同有冇事故通知。
  • 收到外洩通知就改相關帳戶密碼、開 MFA、開啟可用嘅身份盜用或信貸監察,並提防扮客服嘅 email 或 WhatsApp。

PuffPal 官方頁展示會員 profile 嘅 app 畫面

圖片:PuffPal

我睇呢單,cannabis club 只係場景;核心係 KYC 正喺變成每個普通網上服務嘅預設關卡。越多平台要求你證明「你係你」,越要問佢一句:點解要收、收幾耐、邊個可以睇、出事點通知? 公司答唔到,就唔值得拎你張護照去換一個方便登入。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook