名為 UK Visa Portal 的網站,公開暴露了數千名申請英國移民簽證者的護照和自拍照,TechCrunch 已獲悉此事。
一名匿名人士通知 TechCrunch 關於此安全漏洞,表示該網站暴露了至少 10 萬份文件,這些文件來自將護照和自拍照上傳至該網站以完成申請流程的民眾。
該網站與英國政府無關,部分民眾抱怨他們誤將費用支付給這家公司,而非使用官方的 GOV.UK 網站。
在我們發布有關此事件的初步報導後數小時,暴露的數據已於週三隔夜被保護起來。鑑於暴露數據的高度敏感性,TechCrunch 透露存在持續的安全問題,但為了將對個人隱私資訊的額外風險降至最低,並未透露具體細節。
TechCrunch 仍未收到 UK Visa Portal 管理層的回應。該公司並未在我們聯繫時修復問題,反而聘請了律師和公關公司來處理。
此安全漏洞是近期企業公開暴露客戶敏感政府核發身份證件的最新案例,這類事件通常是由於設定錯誤而非外部網路攻擊所致。在世界各地線上身份驗證日益普及,政府紛紛推出年齡驗證法規之際,護照的暴露尤其成問題。
該公司缺乏回應,也讓人質疑它是否會通知受影響的客戶其護照已被公開暴露,或根據美國州和歐洲的數據洩漏通知法規進行通報。
數據洩漏源於一個由亞馬遜託管的公開儲存伺服器(也稱為儲存桶),UK Visa Portal 使用該伺服器來託管用戶上傳的護照和自拍照。
雖然儲存桶並未公開列出其內容,但任何人只要知道每個文件的網址,仍可存取並查看其中的文件。通知我們此暴露事件的人表示,UK Visa Portal 網站後端的錯誤讓他們能夠查看儲存桶中包含的文件列表。
TechCrunch 確認 UK Visa Portal(也稱為 UK Visit 和 ETA-Pass)是數據洩漏的來源,並透過聯繫受影響的個人,詢問其資訊是否準確,來驗證暴露數據的真實性。
許多用戶上傳的照片還包含精確的實際地理位置,顯示了照片拍攝的地點;在某些情況下,此位置數據精確到足以暴露照片拍攝者的住家地址。
UK Visa Portal 的網站上並未提供回報安全問題的管道,其網站也沒有提供公司管理層的姓名或聯絡資訊。TechCrunch 發送了一封電子郵件至 UK Visa Portal 網站上列出的電子郵件地址,告知該公司存在持續的安全漏洞,並詢問可以與哪位管理層人員分享詳細資訊以解決問題。TechCrunch 解釋,由於無法保證暴露的數據不會被濫用,因此無法與該公司的通用客戶支援收件匣分享具體細節。
客戶支援人員向 TechCrunch 提供了 Michael Taylor 的姓名和電子郵件地址,據稱他是 UK Visa Portal 的一位經理。此人並未回覆我們的詢問。
不久後,美國律師事務所 BakerHostetler 的律師和公關公司 FTI Consulting 的代表聯繫了 TechCrunch,尋求有關 UK Visa Portal 問題的資訊。當 TechCrunch 詢問時,律師並未提供任何證據證明他們有權代表該公司發言,例如提供公開記錄以確認他們聲稱代表的個人姓名和職位。我們再次重申,無法與該公司管理層以外的人員分享有關安全漏洞的資訊。
在我們的報導發布且儲存桶被保護後,TechCrunch 向律師提出了一系列關於安全漏洞的問題。我們向 BakerHostetler 合夥人 Ryan Christian 提出的問題包括:亞馬遜託管的儲存桶暴露了多久、暴露的原因是什麼,以及該公司是否有任何日誌可以確定是否有人存取或下載了暴露的數據。我們還詢問 UK Visa Portal 的網路安全責任人是誰(如果有的話)。Christian 並未回應。
據稱,UK Visa Portal 由一家名為 Active Leadgen LLC 的公司營運,該公司聲稱是一家總部位於阿拉伯聯合大公國的公司。TechCrunch 無法獨立證實這一點。
除非您聘請移民律師,否則申請英國電子旅行授權並非必須使用第三方服務,申請人應透過英國政府網站進行申請。
首次發布於 5 月 26 日,並更新了有關安全漏洞的額外資訊。


