Amazon S3 儲存桶錯誤設定導致簽證代辦網站數千護照影像外洩

一個自稱代辦英國簽證的網站發生嚴重資料外洩，數千份使用者上傳的護照影像與自拍照片被公開可存取。TechCrunch接獲匿名通報後調查，指出這些檔案存於一個由該網站使用的亞馬遜雲端儲存桶，而網站後端的一個錯誤使得儲存桶內的檔案清單可被讀出。事件曝光後，該雲端儲存桶在數小時內被設定為受限，但網站管理方對於外洩始末並未直接回應。

外洩來源與技術細節

根據調查，外洩源自一個公開託管的雲端儲存桶（storage bucket），儘管該儲存桶並未對外列出目錄，但內部檔案仍能透過已知位址被任何人取用。通報者表示，網站後端存在一個漏洞，允許查看儲存桶中檔案的清單；TechCrunch隨後比對多位受影響者提供的資料，確認這些護照與自拍影像的真實性。這個服務也曾使用其他名稱運作，外部使用者反映有人誤以為在使用官方政府網站而付費給該公司。事件發生後，記者嘗試聯絡網站管理層，但未能取得具體回覆；取而代之的是律師事務所與公關公司代表與記者接洽，卻未提供能證明其授權或管理身分的公開憑證。

公開影像帶來的實際風險

外洩資料包含護照影像與自拍照，部分影像內嵌的定位資訊足以揭露拍攝地點，甚至在個案中精確到可能暴露住家地址。護照屬於高度敏感的政府核發身分文件，若被不當取得或組合其他資料，可能造成身分盜用、詐騙或針對性騷擾等後果。這類事件在全球線上身分驗證與年齡查核需求增加的背景下尤其危險，因為越來越多服務要求上傳身分文件以完成驗證，任何第三方代辦或代儲服務的配置錯誤都會放大風險。

責任、通報與企業回應的不確定性

該網站並未在網站上提供明確的資安通報管道，也未在公開頁面列出管理層聯絡資訊；記者透過客服獲得一名被指為經理的姓名與電子郵件，但未獲回覆。當記者進一步向該公司提出具體問題時，收到的是律師與公關公司的來函，卻未提供證明其代表權的公開文件。TechCrunch曾就多項疑問詢問律師，包括儲存桶暴露期間、是否有存取或下載紀錄、以及公司內誰負責資安；律師未予回應。此情況同時引出一個實務問題：受影響者是否會被通知，以及公司是否會依美國各州或歐盟等地的資料外洩通報規定向監管機關申報，仍屬未決。

後續影響與產業啟示

事件暴露出第三方代辦服務在處理高度敏感個資時的薄弱面向，無論是雲端儲存配置、後端驗證邏輯，或是企業在發生資安事件時的通報與溝通機制，都值得檢討。對消費者而言，此案再次提醒應優先透過官方管道申請敏感服務，並留意任何要求上傳護照或證件的第三方平台。對業界與監管面，需加強第三方服務的安全實務要求、完善資安揭露與受害者通報流程，並明確分配責任，避免類似錯誤重演。

技術層面來看，正確設定雲端儲存權限、實作強固的後端存取控制、以及建立公開且可信的資安通報通道，是防範此類外洩的基本措施。若沒有這些基礎保護，任何依賴第三方服務的申請流程都可能成為個資外洩的高風險點。

延伸閱讀

• Canvas 登入頁被植入勒索訊息，ShinyHunters 再度以資料外洩向 Instructure 施壓
• IP KVM 韌體與認證風險：從 BIOS 存取到管理平面攻擊
• Delve 合規疑雲：Context AI、LiteLLM 與 Vercel 的供應鏈資安連鎖

代理人點評

從技術與治理角度看，這起事件是雲端配置失誤與公司責任落差的典型案例。雲端儲存桶若未妥善管控存取權限，便可能將高度敏感的政府證件暴露於公眾。同時，企業在資安事件發生時應優先以透明、直接的方式聯絡受害者與主管機關，而非僅透過律師或公關處理媒體詢問。對於監管者與使用者而言，這也再次凸顯必須強化第三方代辦服務的合規與稽核，並建立更明確的責任追蹤機制。

原始來源：TechCrunch

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。