你的护照，可能就躺在公网里：加拿大汇款应用 Duc 的这次泄露，暴露了金融 App 最危险的软肋

安全 2026年4月3日

加拿大汇款应用 Duc 因云存储配置失误，把大量用户护照、驾照、自拍照和交易信息直接暴露在互联网上，任何知道地址的人都能查看，甚至无需密码。这不只是一次“技术事故”，而是金融科技行业长期把 KYC 当成合规任务、却没有把数据安全当成生命线的老问题再次爆雷。

一家做跨境转账的金融 App，最敏感的数据应该藏在哪里？大多数用户的直觉答案会是：加密数据库、层层权限、审计日志、最好再上几道安全闸门。可现实往往比想象更粗糙。根据 TechCrunch 报道，加拿大汇款应用 Duc 关联的一台托管在亚马逊云上的存储服务器，竟然把大量用户的身份文件直接“敞开”在互联网上，任何人只要知道那个并不难猜的网址，就能通过浏览器访问，甚至连密码都不需要。

暴露出去的不是普通资料，而是最能让人后背发凉的那一类：护照、驾照、用于实名认证的自拍照，以及带有姓名、住址、交易时间和交易细节的表格。安全研究员 Anurag Sen 发现，这个公开可见的存储位置里有超过 36 万个文件。TechCrunch 无法最终确认其中究竟有多少本护照和驾照，但从抽样文件夹看，规模至少是“成千上万”这个量级。

更扎心的是，这些文件并没有加密。也就是说，如果有人拿到链接，看到的不是一堆无意义的乱码，而是用户真正上传的证件照片、真实面孔和现实交易轨迹。这类数据一旦流出去，后果往往不是“收到几条骚扰短信”那么简单，而是身份盗用、金融诈骗、账户接管，甚至跨平台的长期风险。

一次配置失误，为什么会变成用户的长期阴影

Duc 背后的公司是多伦多的 Duales。它对外宣传这款 App 可以帮助用户向其他用户转账，也包括向古巴等海外地区汇款。Google Play 页面显示，这款安卓应用下载量已经超过 10 万。对于一家金融服务公司来说，这意味着它手里掌握的不只是邮箱和手机号，而是一整套现实世界里的“数字身份证明”。

在今天的互联网里，自拍照、护照和驾照几乎已经成了很多平台的“入场券”。你想开个金融账户，上传证件；你想提高支付额度，上传证件；你想验证年龄，还是上传证件。平台总说这是 KYC，也就是“了解你的客户”，听起来非常正当，也确实是监管要求。但问题在于，行业把“收集”这件事做得越来越熟练，把“保护”这件事却做得不够体面。

这次事件真正让人不安的地方，不只是服务器开着门，而是门后面堆着的东西太重了。护照号码、驾照照片、地址、交易记录，这些单独看已经够敏感，组合在一起更像是一份完整的身份画像。诈骗分子最喜欢这样的拼图：有证件，有照片，有住址，有资金活动线索。受害者未来几年都有可能反复承受后续影响，而不是等新闻热度过去就一切归零。

“测试环境”不是免责金牌，反而常常是事故温床

Duales 首席执行官 Henry Martinez González 在回复中表示，相关数据存放在一个“staging site”，也就是通常所说的测试环境或预发布环境。但这个解释并没有让事情变轻，反而让人更想追问：为什么真实用户的敏感身份信息，会出现在一个可被公网访问的测试环境里？

这是科技行业里一个非常顽固、也非常常见的坏习惯。很多团队在正式生产环境上层层设防，到了测试环境就开始“先跑起来再说”。权限放宽一点，日志少配一点，证书晚点补，反正内部用嘛——结果最后最先出事的，恰恰就是这些被默认“没那么重要”的角落。安全事故里有一句很朴素的话：攻击者不会尊重你的环境区分。你叫它测试库、备份桶、临时站点、演示接口，都不影响它一旦暴露就会被看见、被扫到、被下载。

更何况，这批文件的时间跨度可以追溯到 2020 年 9 月，而且还在持续每天上传。这意味着所谓“测试环境”里装的不是一小撮脱敏样本，而是长时间累积、持续更新的真实用户数据。说得直接一点，这已经不是“实验室角落忘了锁门”，更像是把居民档案放在临街仓库里，还挂了一块并不难找的门牌。

云服务背锅很容易，但锅并不在云上

每次类似事件发生，总有人会下意识地把矛头指向 AWS、Google Cloud 或 Azure，好像“云”天生就不安全。事实上，这类事故最常见的根源恰恰不是云平台本身，而是客户自己的配置失误。TechCrunch 也提到，亚马逊这些年已经不断增加安全检查，尽量避免用户把存储桶误设为公网可访问。问题在于，再完善的防误触机制，也挡不住糟糕的安全流程和松散的数据治理。

这类“裸奔的存储桶”并不是新鲜事。过去几年，从大型企业到政府承包商，再到社交平台和创业公司，类似事故一再上演。Facebook 相关数据、三星源码、各类贷款记录、年龄验证文档，都曾因为云存储配置不当而外泄。你会发现一个重复得近乎无聊的剧本：企业大量收集敏感信息，云端某处权限设置出错，研究员或媒体发现，企业火速关闭访问，随后进入沉默、甩锅或“正在评估影响”的阶段。

Duc 这次同样留下了一个关键疑问：公司是否有足够的访问日志，能够判断究竟有谁访问过这些数据、访问了多少、下载了哪些文件？如果连这一点都说不清，那企业对用户的通知、风险评估和后续补救都很容易变成“摸着黑安慰人”。而在数据泄露事件里，最怕的不是已经知道坏事发生了，而是根本不知道坏事发生到了哪一步。

金融科技越来越像银行，却还没长出银行级的安全肌肉

这件事放在 2026 年看，格外刺眼。过去几年，金融科技公司和各种“钱包”“转账”“汇款”服务迅速扩张，很多产品在用户体验上甚至已经比传统银行更轻、更快、更贴近移动互联网。但在安全治理上，它们并不总是拥有银行级别的纪律性。

传统银行并非不会出事，只是它们通常在制度、审计、分级权限、合规团队和数据生命周期管理方面，有更成熟的老派笨功夫。金融科技公司的强项是增长和体验，弱项则常常是把安全当成“上线后再优化”的功能模块。KYC 文档一旦被视作合规成本，而不是高危资产，团队就很容易在存储、访问控制、脱敏、删除策略上做出偷懒决定。

这也是为什么类似事件正在变得更值得警惕。去年，TeaOnHer 曾暴露大量用户护照和驾照；Discord 也确认过一宗影响约 7 万份政府签发证件的数据泄露事件。背后的共同趋势很清晰：平台要求用户交出越来越重的身份材料，但平台自己并没有拿出与之匹配的安全投入。我们正在进入一个“人人都让你上传证件”的时代，却还没建立起“谁有资格保管证件”的基本秩序。

加拿大隐私监管机构已经表示，正在向公司了解更多信息并决定后续措施。监管介入当然重要，但更值得行业思考的是另一个问题：是不是有些平台根本不该长期保留这类文件？如果实名认证只是一次性校验，那证件照片为什么要在服务器里躺上几年，还持续与其他业务数据放在一起？技术上完全可以做最小化存储、定期删除、分区隔离、单独加密，很多公司不做，往往不是因为做不到，而是因为嫌麻烦。

这不仅是 Duc 的问题，也是每个上传过身份证件的人的问题

普通用户面对这类新闻，最无力的地方在于：你几乎没有谈判权。平台说要上传护照才能汇款，你不上传，就用不了服务。你把证件交出去，是出于信任，也是出于现实需要。可一旦保管不善，成本却由用户承担。重新办证、提防诈骗、监控账户异动、担心照片被滥用，这些看不见的后果，都不会自动出现在公司的季度财报里。

所以这次 Duc 事件真正刺痛人的，不只是“又一家公司的云桶没关好”，而是它再次提醒我们：在数字社会里，最值钱的东西未必是钱本身，而是证明“你是谁”的那一套材料。钱丢了，或许还能追回一部分；身份一旦被复制、被转卖、被拼接，麻烦可能跟着你很多年。

如果你是用户，现实建议依旧很朴素：对任何要求上传护照、驾照的平台，都多问一句“为什么必须要这个”；能不用就不用，能少给就少给。如果你是产品经理或创业者，这次事件也很像一记响亮的耳光：别把 KYC 做成一个冷冰冰的上传按钮。每收到一张证件照片，你拿到的不是一份文件，而是一个人现实生活的脆弱入口。守不好，就别收。

Summary: 我的判断是，Duc 这次暴露不会是个例，而会继续成为金融科技行业的缩影：产品跑得太快，安全和数据治理却总慢半拍。接下来，监管对 KYC 文档的存储期限、访问控制和泄露通报要求大概率会更严格。更重要的是，用户也会越来越不愿意把护照和驾照轻易交给“像银行但还不是银行”的 App。未来真正能赢得信任的，不只是转账更快的平台，而是敢于少收数据、快删数据、把安全做成产品底线的平台。

数据泄露Duc云存储配置错误KYC身份信息暴露亚马逊云金融科技护照TechCrunchAnurag Sen