反欺诈组织邮件邀请失误暴露数十个邮箱地址

英国反欺诈非营利组织Cifas因发送日历邀请时操作失误，意外暴露了数十位欺诈领域工作者的电子邮箱地址，令该机构陷入尴尬境地。

这封邀请函于8月发出，原定于10月16日举行关于JustMe应用程序的会议。该应用程序可帮助用户验证以其名义提交的申请是否真实。据《The Register》获得的邮件副本显示，收件人（To）字段暴露了十多个邮箱地址，抄送（CC）字段更是包含了45个邮箱。

受影响的邮箱似乎包括安全厂商、管理咨询公司、出版机构的从业人员，甚至还有来自中央政府等公共部门的受邀者。

Cifas的宣传标语是“我们保护您的组织免受欺诈和金融犯罪”，但此次事件显然与其宗旨相悖。英国信息专员办公室（ICO）将电子邮箱地址视为个人数据，建议群发邮件时不应使用抄送字段，而应使用密送（BCC）。但即使使用密送，收件人和发件人仍可能面临风险。

ICO发言人向《The Register》表示，尚未收到关于Cifas此事件的违规报告。“组织必须在意识到个人数据泄露后的72小时内向ICO报告，除非该泄露不会对人们的权利和自由构成风险。如果组织决定不需要报告，则应自行记录并能在必要时解释未报告的原因。”

2023年，ICO监管网络总监Mihaela Jembei曾强调：“每年向我们报告的数据泄露事件中，未能正确使用密送功能一直位居前列——这些泄露可能造成实际损害，特别是在涉及敏感个人信息时。”

对于群发邮件，监管机构建议使用专业群发服务、邮件合并功能或安全数据传输服务。ICO指出：“即使邮件内容不包含敏感信息，显示收件人名单也可能泄露关于他们的敏感或机密信息。”该机构还补充说，组织应确保员工在接受培训后，才能执行邮件群发任务。

截至发稿时，《The Register》向Cifas和ICO发出的置评请求均未获得回复。

更新：2025年10月21日14:20 UTC补充内容： “我们感谢《The Register》提醒我们关注此事。因此，我们正在联系所有被邀请参加该活动的人员，并正在向ICO报备此事件。”