Portalul UK Visa a expus mii de pașapoarte și selfie-uri ale solicitanților – apoi a chemat avocații pe noi

Un site web numit UK Visa Portal a expus public mii de pașapoarte și fotografii selfie ale solicitanților care au plătit pentru a obține o viză de imigrare în Regatul Unit, după cum a aflat TechCrunch. O persoană anonimă a alertat TechCrunch despre această breșă de securitate, afirmând că site-ul expunea cel puțin 100.000 de documente de la persoane care își încărcaseră pașapoartele și selfie-urile pe site ca parte a procesului de aplicare. Site-ul nu este afiliat guvernului britanic, iar unii utilizatori s-au plâns că au plătit din greșeală o taxă acestei companii în loc să folosească site-ul oficial GOV.UK. Datele expuse au fost securizate peste noapte, miercuri, la câteva ore după ce am publicat articolul nostru inițial despre incident. Având în vedere natura extrem de sensibilă a datelor expuse, TechCrunch a dezvăluit că exista o problemă de securitate în curs, fără a oferi detalii specifice pentru a minimiza riscurile suplimentare pentru informațiile private ale persoanelor implicate. TechCrunch nu a primit încă un răspuns din partea conducerii UK Visa Portal. În loc să rezolve problema când am contactat-o, compania a trimis avocații și o firmă de relații publice în locul lor. Această breșă de securitate este cel mai recent exemplu de companii care expun public documente de identitate guvernamentale sensibile ale clienților lor în ultimele săptămâni, adesea din cauza unei configurații greșite, nu a unui atac cibernetic extern. Expunerea pașapoartelor este cu atât mai problematică într-o perioadă în care verificările online de identitate sunt în creștere în întreaga lume, datorită implementării de către guverne a legilor de verificare a vârstei. Lipsa de răspuns a companiei lasă, de asemenea, întrebări deschise cu privire la faptul dacă va notifica clienții afectați că pașapoartele lor au fost expuse public sau dacă va notifica autoritățile de reglementare, așa cum este cerut de legile statelor americane și europene privind notificarea breșelor de date. Scurgerea de date a provenit de la un server de stocare public găzduit pe Amazon (cunoscut și sub numele de bucket), pe care UK Visa Portal îl folosește pentru a găzdui pașapoartele și selfie-urile încărcate de utilizatori. Deși bucket-ul nu lista public conținutul său, fișierele din interior erau totuși accesibile și vizibile pentru oricine cunoștea adresa web a fiecărui fișier. Persoana care ne-a alertat despre expunere a spus că o eroare în backend-ul site-ului UK Visa Portal i-a permis să vadă lista fișierelor din bucket. TechCrunch a confirmat că UK Visa Portal (cunoscut și sub numele de UK Visit și ETA-Pass) a fost sursa scurgerii de date și a verificat autenticitatea datelor expuse contactând persoanele afectate pentru a întreba dacă informațiile lor erau corecte. Multe dintre fotografiile încărcate de utilizatori conțineau și locația exactă din lumea reală, dezvăluind unde au fost făcute imaginile; în unele cazuri, aceste date de localizare erau suficient de precise pentru a expune adresa de acasă a persoanei care a făcut fotografia. UK Visa Portal nu oferă o modalitate de a raporta probleme de securitate prin intermediul site-ului său, iar site-ul nu oferă nume sau informații de contact pentru conducerea companiei. TechCrunch a trimis un e-mail la adresa de e-mail listată pe site-ul UK Visa Portal, alertându-i că compania are o breșă de securitate în curs și întrebând cu cine din conducere putem împărtăși detalii pentru a rezolva problema. TechCrunch a explicat că nu putem împărtăși specificații cu căsuța generală de asistență pentru clienți a companiei, deoarece nu puteam garanta că datele expuse nu vor fi utilizate greșit. Persoana de asistență pentru clienți a furnizat TechCrunch numele și adresa de e-mail a lui Michael Taylor, despre care ni s-a spus că este manager la UK Visa Portal. Persoana respectivă nu a răspuns la întrebarea noastră. La scurt timp după, avocații de la firma americană BakerHostetler și reprezentanții firmei de relații publice FTI Consulting au contactat TechCrunch, cerând informații despre problema de la UK Visa Portal. Când TechCrunch a întrebat, avocații nu au oferit dovezi că sunt autorizați să vorbească în numele companiei, cum ar fi furnizarea unui document public care să confirme numele și rolul persoanelor pe care pretind că le reprezintă. Am menționat din nou că nu putem împărtăși informații despre breșa de securitate în afara conducerii companiei. Am adăugat că, dacă Taylor sau un alt manager este dispus să accepte informații despre breșa de securitate, poate contacta – sau avocații îi pot include în firul de e-mail. Nu am primit răspuns. După ce articolul nostru a fost publicat și bucket-ul a fost securizat, TechCrunch a prezentat avocaților o serie de întrebări despre breșa de securitate. Întrebările pe care le-am adresat partenerului BakerHostetler, Ryan Christian, au inclus cât timp a fost expus bucket-ul găzduit pe Amazon, motivul expunerii și dacă compania are jurnale pentru a determina dacă cineva a accesat sau a descărcat datele expuse. De asemenea, am întrebat cine este responsabil pentru securitatea cibernetică la UK Visa Portal, dacă există cineva. Christian nu a răspuns. UK Visa Portal este, se presupune, condus de o companie numită Active Leadgen LLC, care pretinde a fi o companie cu sediul în Emiratele Arabe Unite. TechCrunch nu a putut confirma acest lucru în mod independent. Nu este necesar să folosești un serviciu terț pentru a aplica pentru o autorizație electronică de călătorie în Regatul Unit, cu excepția cazului în care angajezi un avocat de imigrare, iar solicitanții ar trebui să aplice prin site-ul guvernului britanic. Publicat pentru prima dată pe 26 mai și actualizat cu informații suplimentare despre breșa de securitate. Când achiziționați prin linkurile din articolele noastre, putem câștiga un mic comision. Acest lucru nu afectează independența noastră editorială. Zack Whittaker este editorul de securitate la TechCrunch. De asemenea, este autorul buletinului informativ săptămânal de securitate cibernetică, „this week in security”. Poate fi contactat prin mesaj criptat la zackwhittaker.1337 pe Signal. De asemenea, îl puteți contacta prin e-mail sau pentru a verifica contactul, la zack.whittaker@techcrunch.com. StrictlyVC Athens urmează. Ascultați informații nefiltrate direct de la liderii tehnologici din Europa și conectați-vă cu oamenii care modelează viitorul. Asigurați-vă locul înainte să dispară. Meta lansează abonamente Instagram, Facebook și WhatsApp, cu mai multe de urmat, inclusiv planuri AI. Sarah Perez am încercat dispozitivul purtabil Bee de la Amazon și sunt atât intrigată, cât și ușor speriată. Lucas Ropek Waymo extinde pauza în patru orașe, pe măsură ce robotaxiurile continuă să conducă în inundații. Sean O'Kane Șase motoare de căutare care merită încercate acum că Google nu mai este cu adevărat Google. Amanda Silberling

De ce este important:

Această breșă de securitate subliniază riscurile majore asociate cu utilizarea serviciilor terțe pentru aplicații guvernamentale sensibile, cum ar fi vizele. Expunerea a peste 100.000 de pașapoarte și selfie-uri nu doar că pune în pericol identitatea și siguranța solicitanților, dar evidențiază și lipsa de responsabilitate a companiilor care colectează date personale fără măsuri adecvate de securitate. Faptul că UK Visa Portal a recurs la avocați și firme de PR în loc să remedieze problema sau să notifice autoritățile arată o atitudine îngrijorătoare față de confidențialitatea utilizatorilor. Într-o eră în care verificările online de identitate devin tot mai comune, astfel de incidente demonstrează necesitatea unor reglementări mai stricte și a unei transparențe sporite din partea companiilor care gestionează date guvernamentale.