英国「金融时报」报导,阿布达比1场旗舰投资会议的数百名与会者的护照及其他身分证明文件外泄于网路,前英国首相卡麦隆在内的多名国际政商人士都受到影响。
一个与「阿布达比金融周」(Abu Dhabi FinanceWeek, ADFW)有关的云端储存伺服器,因安全防护不周,导致超过700份护照及身分证扫描档案外泄。这场活动由阿拉伯联合大公国官方支持主办,去年12月吸引超过3.5万人参加。
根据金融时报检视的文件,受害者包括前英相卡麦隆(David Cameron)、亿万对冲基金经理人霍华德(Alan Howard)以及美国投资人兼前白宫联络室主任史卡拉穆奇(Anthony Scaramucci)等。
发现这项资安漏洞的独立资安研究员暨顾问苏霍夫斯基(Roni Suchowski)指出,这些资料只要透过一般网页浏览器即可公开取得。然而,金融时报昨天联系阿布达比金融周主办单位后,伺服器现已加上安全防护措施。
资安专家表示,这次资料外泄恐损及阿拉伯联合大公国形象,毕竟阿联经常举办高规格国际会议,且一向重视相关安全作为。
阿布达比金融周是阿联向全球金融界展示发展成就的平台,希望吸引对冲基金与资产管理公司进驻其成长迅速的金融中心。主办单位为阿布达比全球市场(Abu Dhabi Global Market, ADGM)称,他们活动期间所代表的资产总额超过62兆美元
阿布达比金融周证实,「此次事件涉及第三方厂商管理储存环境出现漏洞,仅影响2025年部分与会者资料」。
主办单位声明:「阿布达比金融周一向高度重视资料保护与平台安全,对于任何资安事件亦以最高严格标准处理。」
「资料环境在发现问题后已立即被保护,我们初步调查显示,唯一有存取活动的为发现漏洞的那名研究员。」
主办单位表示,已向受影响人士主动通知资料外泄一事。
金融时报检视的档案样本显示,受灾户还包括加密货币交易所币安(Binance)共同执行长邓伟政(Richard Teng),以及欧洲联盟驻阿联大使柏格(Lucie Berger)。
史卡拉穆奇及卡麦隆、霍华德、柏格与邓伟政的代表均拒绝回应。
苏霍夫斯基运用现成软体扫描云端服务,寻找尚未设防的资料,并发现这次外泄。遭外泄的档案多达数万笔,内容包含护照、身分证及ADFW相关发票文件等,预料至少已处于公开状态两个月。苏霍夫斯基表示,他曾尝试通知主办方但未果,因而联络了金融时报。
苏霍夫斯基指出,为了保护受影响人士,对资料外泄事件进行「负责任的揭露」极为关键。「最理想的状况是先私下通知相关组织,让它在资安漏洞遭恶意利用前,有机会妥善修补。」
完整护照扫描对暗网(dark web)犯罪分子颇具价值,这些资料结合其他个资后,恐被拿来盗用身分、发动极具针对性的钓鱼攻击, 或非法入侵线上帐户。
英国智库「皇家国际事务研究所」(ChathamHouse)中东及北非计划副研究员奎廉(NeilQuilliam)指出,阿布达比金融周的资安漏洞是一次「严重失误」。他补充,这类「基本且简单」的错误,与阿联一直以来所标榜的国家形象背道而驰。
有一位与会者坦言,对这起「重大资料外泄事件」感到震惊,直呼「实在令人错愕」。