一句话看懂:近100万份全球护照照片因一家大麻药房的身份验证系统存在API漏洞而被公开暴露。这起事件暴露了一个深层风险:高价值凭证(护照)被用于低安全等级的商业场景,一旦低端系统被攻破,核心身份数据将全线失守。
事件核心:发生了什么
2026年6月,安全研究员Sammy Azdoufal发现一个包含98.5万份护照照片的数据库在互联网上公开,无需任何身份验证或加密即可访问。这些数据来自软件公司Nefos为加拿大境内多家大麻药房提供的ID验证系统。Nefos承认其合作方9series开发的API存在漏洞,并已向爱尔兰数据保护委员会(DPC)报告此事。值得注意的是,Nefos未能在72小时内按欧盟法律要求披露该漏洞,可能面临处罚。目前受影响用户尚未收到大规模通知。
为什么重要
这起事件完美诠释了安全领域一个经典悖论:高价值凭证被“降级”使用。护照是国家颁发的最高级别身份文件,却被用在购买大麻这种低风险商业验证中。问题在于,低安全等级的系统(药房验证端)一旦被攻破,高价值凭证的泄露将直接影响用户境外出行、银行开户、签证申请等核心场景。事件暴露了“Know Your Customer”(KYC)合规要求在美国、加拿大等地区快速扩展,但对应数据保护立法和惩罚机制严重缺失。即企业被要求收集敏感信息,却无需承担与收集同等量级的安全义务。
对用户/开发者/创作者的影响
普通用户:如果您的护照曾用于任何第三方身份验证服务(如药房、共享平台、短期租赁),应主动核实数据是否可能在此次泄露范围内。护照信息一旦泄露,无法像密码一样重置,未来可能出现针对性的护照号码欺诈。
开发者与企业:如果您正在构建任何需要收集政府颁发的身份证件的应用,请意识到这是一个“不可逆风险”。必须实施最低权限原则(Least Privilege),对存储数据做静态加密和传输加密,设置访问审计日志,并制定72小时内通知用户的应急响应流程。不要假设外部API的提供商能保证数据安全。
政策与合规从业者:该事件可能推动欧盟、北美数据保护机构对“KYC数据存储期限”和“次处理器责任”出台更严格规定。企业如果外包ID验证,需在合同中明确数据泄露时的处罚条款。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. 爱尔兰DPC是否会对Nefos开出罚单,这将检验欧盟《通用数据保护条例》(GDPR)在跨业务场景下的执行力度。
2. 被泄露的护照数据集是否会被用于大规模伪造或社会工程攻击,安全社区需持续监控暗网动向。
3. 大麻药房这类低频、非核心业务是否会因此改变流程,放弃收集完整护照图像,转而采用更简化的验证方案(如仅验证颁发日期或是否有效)。
