Αποκάλυψη: Χιλιάδες διαβατήρια και selfies στο UK Visa Portal

Ένα σοβαρό περιστατικό ασφαλείας προέκυψε στο UK Visa Portal, καθώς χιλιάδες διαβατήρια και selfies αιτούντων για βίζα στο Ηνωμένο Βασίλειο διέρρευσαν δημόσια, με ασύμμετρη επίπτωση στους χρήστες που εμπιστεύτηκαν την υπηρεσία, σύμφωνα με πληροφορίες από το TechCrunch.

Μια ανώνυμη πηγή ανέφερε στο TechCrunch πως τουλάχιστον 100.000 ευαίσθητα έγγραφα ήταν εκτεθειμένα προς το κοινό, συμπεριλαμβανομένων διαβατηρίων και selfies, που οι χρήστες ανέβασαν κατά την υποβολή αίτησης. Το σφάλμα αυτό ενδέχεται να έχει εκτενείς συνέπειες για ασφάλεια προσωπικών στοιχείων.

Ο ιστότοπος UK Visa Portal δεν συνδέεται με την κυβέρνηση του Ηνωμένου Βασιλείου και έχουν υπάρξει αναφορές από χρήστες που πλήρωσαν ακούσια τέλη σε αυτόν αντί στον επίσημο ιστότοπο της κυβέρνησης GOV.UK. Το γεγονός ότι ευαίσθητα δεδομένα έχουν διαρρεύσει δημιουργεί καίρια ζητήματα για την προστασία των προσωπικών πληροφοριών και την αξιοπιστία των υπηρεσιών που χρησιμοποιούν οι χρήστες.

Τα διαρρευθέντα δεδομένα δημοσιοποιήθηκαν τη νύχτα της Τετάρτης, λίγες ώρες μετά την αρχική αναφορά του περιστατικού. Το TechCrunch σχολίασε την ευαίσθητη φύση των δεδομένων και διαπίστωσε ότι υπήρξε μία συνεχιζόμενη ανησυχία σχετικά με την ασφάλεια, αποκλείοντας ορισμένες πληροφορίες για την αποφυγή περαιτέρω κινδύνων σε αφορά τα προσωπικά δεδομένα των χρηστών.

Αναμένοντας απάντηση από τη διοίκηση του UK Visa Portal, στο ενδιάμεσο η εταιρεία προχώρησε στην αποστολή νομικών αντιπροσώπων για να χειριστούν την κατάσταση, χωρίς να αντιμετωπίσουν άμεσα τις ανησυχίες σχετικά με τη διαρροή.

Εκτεθειμένα διαβατήρια, selfies και δεδομένα τοποθεσίας

Η διαρροή προήλθε από δημόσιο διακομιστή αποθήκευσης που φιλοξενείται από την Amazon, γνωστός και ως “κάδος”, χρησιμοποιούμενος από το UK Visa Portal για την αποθήκευση των διαβατηρίων και των selfies των χρηστών. Παρά το γεγονός ότι ο κάδος δεν ήταν δημοσίως προσβάσιμος, τα αρχεία τα οποία περιλάμβανε ήταν διαβλέψιμα σε όσους γνώριζαν τη διεύθυνση URL τους.

Ο πληροφοριοδότης που γνωστοποίησε την έκθεση σε εμάς αναφέρεται σε μια εσωτερική ατέλεια στον ιστότοπο του UK Visa Portal, που επέτρεψε την πρόσβαση στη λίστα αρχείων του κάδου. Το TechCrunch επιβεβαίωσε την πηγή των δεδομένων με την επικοινωνία με θιγμένα άτομα, αναζητώντας πληροφορίες που να καταδεικνύουν την εγκυρότητα των διαρρευσαντων πληροφοριών.

Πολλές φωτογραφίες είχαν επίσης ενσωματωμένα δεδομένα τοποθεσίας, αποκαλύπτοντας πού ακριβώς ελήφθησαν. Σε κάποιες περιπτώσεις, αυτά τα δεδομένα ήταν τόσο ακριβή, που αποκάλυπταν σχεδόν τη διεύθυνση κατοικίας του ατόμου.

Ο ιστότοπος δεν παρέχει ούτε πληροφορίες για να αναφερθούν ζητήματα ασφαλείας ούτε στοιχεία επικοινωνίας. Όταν το TechCrunch επισκέφτηκε τη σελίδα του UK Visa Portal και ενημέρωσε τη διοίκηση για τους κινδύνους, δεν υπήρξε καμία επικοινωνία από την πλευρά των υπευθύνων της εταιρείας.

Το προσωπικό υποστήριξης του UK Visa Portal μας παρέθεσε το όνομα και τη διεύθυνση του Michael Taylor, ο οποίος λέγεται ότι είναι διευθυντής της εταιρείας. Δυστυχώς, η επικοινωνία μας έμεινε χωρίς απάντηση.

Αμέσως πόλους δικηγόρους της αμερικανικής εταιρείας BakerHostetler και εκπροσώπους από την FTI Consulting επικοινώνησαν με το TechCrunch, αναζητώντας πληροφορίες σχετικά με το θέμα στο UK Visa Portal. Παρά την πρόοδο, δεν διευκρίνισαν αν έχουν νόμιμη εξουσία εκπροσώπησης.

Η εργασία του UK Visa Portal φαίνεται να διευθύνεται από την Active Leadgen LLC, αναγνωρίσιμη εταιρεία με έδρα τα Ηνωμένα Αραβικά Εμιράτα. Το TechCrunch δεν μπόρεσε να το εξακριβώσει.

Είναι σημαντικό οι χρήστες να γνωρίζουν ότι δεν χρειάζεται να καταφύγουν σε τρίτους ιστότοπους για να υποβάλουν αίτηση για ηλεκτρονικές άδειες ταξιδιού, εκτός εάν αυτό γίνεται μέσω δικηγόρων μετανάστευσης. Οι αιτούντες θα πρέπει να υποβάλλουν αίτηση αποκλειστικά μέσω του επίσημου ιστότοπου του Ηνωμένου Βασιλείου GOV.UK.

Αυτό το άρθρο αρχικά δημοσιεύθηκε στις 26 Μαΐου και ενημερώθηκε με νέες πληροφορίες σχετικά με την παραβίαση ασφαλείας.