美國汽車保險索賠管理平台 ClaimPix 近期爆發了駭人聽聞的超大規模數據洩露事件，該事件的嚴重程度和影響範圍，遠超一般的個人資料外洩。網路安全研究員 Jeremiah Fowler 透過負責任披露程序，發現了一個容量驚人且毫無防護的資料庫。

根據報道，網路安全研究員Jeremiah Fowler發現了一個包含超過 510 萬個檔案（高達 10.7 TB 的資料）的資料庫，這些檔案沒有密碼保護，也完全未加密。洩漏的資料庫包含個人識別資訊（PII），包含客戶姓名、家庭住址、電話號碼和電子郵件的保險文件，例如車輛登記、維修發票以及清晰顯示車牌和車輛識別號碼 ( VIN ) 的受損車輛圖像。

這場資訊安全災難的嚴重性在於其揭露了極為私密且具備法律效力的文件。洩露的資訊不僅限於基礎客戶聯絡方式，更深入到車輛的機敏細節，包括維修相關的財務數據等。然而，最令人不安的是數以萬計的法律文件遭到暴露。

這次洩密事件最令人擔憂的一點是發現了約16,000份授權委託書（Power of Attorney, POA）， POA是一種授權他人代表車主購買、出售或轉讓機動車所有權的合法文件。由於這些文件經過電子簽名，甚至包含簽名者的IP位址，因此構成了嚴重威脅。

授權委託書（POA）的洩露，結合了客戶的個人身份資訊（PII）與法律授權的權限，為犯罪分子打開了進行複雜詐欺的大門。犯罪分子可以利用這些高價值數據進行多層次的犯罪活動。

犯罪分子可能會利用這些個人資訊和法律授權的組合進行身分盜竊、金融犯罪，甚至創造新的虛假身分。福勒在部落格文章中解釋道，車輛識別號碼 (VIN) 和車牌的洩漏還會帶來「車輛克隆」的風險，這就像汽車身份盜竊一樣。目前尚不清楚該資料庫是由 ClaimPix 直接管理還是由第三方供應商管理，且資料暴露的總持續時間仍然未知。

「車輛克隆」（Vehicle Cloning）意指犯罪分子利用洩露的真實車輛識別號碼（VIN）和車牌資訊，將其複製到被盜或非法車輛上，從而使後者得以合法上路，逃避執法機關的追蹤。當這些細節與客戶的姓名、地址和電子郵件等 PII，以及具法律效力的 POA 文件結合時，犯罪分子便獲得了多重工具，能夠進行身分冒充、詐欺性汽車交易，甚至濫用個人信用。

在接到 Fowler 的披露通知後，ClaimPix 方面迅速採取了行動，限制了對該資料庫的訪問，並回應稱已調查並證實了研究結果，隨後更新了相關政策與程式碼來解決此問題。然而，資料被公開暴露的持續時間以及該資料庫的實際管理方仍是未解之謎，這使得客戶面臨的長期風險難以精確評估。此一事件對所有仰賴雲端或第三方供應商儲存高度機密和法律文件（如 POA）的企業敲響了警鐘，強烈呼籲必須將數據加密和嚴格的訪問控制視為資訊安全的首要任務，以避免因配置不當而引發災難性的法律和經濟後果。