共享单车服务摩拜单车用户上传的超过 120,000 份护照、驾照和身份证件在网上被发现。
安全研究员Bob Diachenko于 2 月 11 日在一个不受保护的亚马逊托管存储桶中发现了这些数据,并将详细信息传递给 TechCrunch,以确保数据安全。这个桶的名字暗示它属于摩拜单车,这是一家在中国成立的曾经很有前途的共享单车运营商。任何知道这个容易猜到的存储桶名称的人都可以从他们的网络浏览器浏览可追溯到 2017 年并且每天都在增长的护照和身份证件宝库。
存储桶存储用户必须上传的身份文件才能使用摩拜单车。该存储桶还包含 94,000 个客户自拍和 49,000 个客户签名,用于用户身份验证。几乎所有的身份证件都是针对拉丁美洲用户的,包括阿根廷和巴西。但没有任何数据被加密。
摩拜单车于2015年在北京成立,曾数次易主。它曾被誉为中国的共享单车先驱,这是一家蓬勃发展的初创公司, 在 2018 年被中国按需服务巨头美团以 27 亿美元收购之前获得了数十亿美元的投资资金。摩拜单车在中国的业务后来更名为美团单车。
摩拜单车有国际野心,但陷入困境。在被美团收购后的几个月里,它损失了数亿美元,美团后来决定剥离摩拜的国际业务以削减成本。该计划是关闭东南亚的摩拜单车,但通过当地合作伙伴继续在东北亚、拉丁美洲和欧洲运营。
但当被告知安全漏洞时,似乎没有人愿意为暴露的数据承担所有权或责任。
当 TechCrunch 联系到美团时,美团发言人向曦表示,该公司“与此事无关”,因为该公司于 2019 年 8 月出售了摩拜单车的拉丁美洲业务,但拒绝透露是谁以保密协议为由收购该公司的。要确切地知道该与谁联系有关暴露的客户数据的难度要大得多。
然而,暴露的存储桶中的许多文件早于 2019 年 8 月,当时美团据称仍持有摩拜单车的所有权。
TechCrunch 联系了一些已知与摩拜单车相关的公共和私人电子邮件地址。许多电子邮件没有退回,而其他电子邮件则退回并显示一条错误消息,称我们的电子邮件无法送达。包含暴露存储桶网址的多条消息被发送到 WhatsApp 上的摩拜单车客户支持号码,但未得到回复。
到 5 月底,水桶已经固定。目前尚不清楚究竟是谁固定了水桶。
也不知道存储桶暴露了多长时间 – 甚至不知道存储桶的内容是如何开始公开的。因为亚马逊的存储桶默认是私有的,所以控制桶的人必须更改其权限才能允许公共访问。
在撰写本文时,摩拜单车尚未在其网站或任何社交媒体资料(自 2019 年以来未发布)上就安全事件发表任何声明。
原文: https://techcrunch.com/2022/06/08/mobike-passports-identity-exposed/