Portalul privat de vize UK a expus mii de pașapoarte și selfie-uri ale solicitanților, apoi a trimis avocații în loc să răspundă întrebărilor

Un site numit UK Visa Portal a expus public mii de pașapoarte și fotografii tip selfie ale solicitanților care au plătit pentru obținerea unei vize de imigrare în Regatul Unit, potrivit unei dezvăluiri recente. Un avertizor anonim a semnalat problema de securitate, susținând că site-ul făcea accesibile cel puțin 100.000 de documente încărcate de persoane care și-au trimis pașapoartele și fotografiile în cadrul procesului de aplicare.

Acest website nu are nicio afiliere cu guvernul britanic, iar unii utilizatori s-au plâns că au plătit din greșeală taxa către această companie, în loc să folosească platforma oficială a autorităților. Datele expuse au fost securizate în noaptea de marți spre miercuri, la câteva ore după publicarea inițială a informațiilor despre incident. Din cauza naturii extrem de sensibile a datelor, dezvăluirea inițială a menționat doar existența unei probleme de securitate, fără detalii tehnice care ar fi putut amplifica riscul pentru informațiile personale ale celor afectați.

Conducerea UK Visa Portal nu a oferit până acum niciun răspuns clar. În loc să remedieze imediat situația atunci când a fost contactată, compania a direcționat chestiunea către avocați și o firmă de relații publice. Acest incident se înscrie într-o serie recentă de cazuri în care firme private expun, din greșeli de configurare și nu neapărat în urma unor atacuri informatice externe, datele sensibile de identitate ale clienților, emise de autorități. Expunerea pașapoartelor este deosebit de gravă într-un moment în care verificările digitale de identitate se extind la nivel global, iar guvernele implementează tot mai des legi privind verificarea vârstei.

Lipsa de reacție a companiei ridică și mai multe semne de întrebare. Nu este clar dacă persoanele ale căror documente au fost făcute publice vor fi anunțate în mod oficial. Rămâne neclar și dacă vor fi notificați autoritățile de reglementare, așa cum cer legile privind raportarea breșelor de date în anumite state americane și în Uniunea Europeană.

Scurgerea de date a pornit de la un server de stocare găzduit public pe infrastructura Amazon, un așa‑numit „bucket”, folosit de UK Visa Portal pentru a depozita pașapoartele și selfie-urile încărcate de utilizatori. Chiar dacă acel bucket nu afișa în mod public o listă completă și directă a conținutului, fișierele puteau fi totuși accesate și vizualizate de oricine cunoștea adresa web specifică a fiecăruia. Persoana care a semnalat expunerea a explicat că un bug din sistemul backend al site-ului permitea vizualizarea listei de fișiere stocate în bucket.

A fost confirmat că UK Visa Portal, cunoscut și sub denumirile UK Visit și ETA-Pass, este sursa principală a scurgerii și că datele expuse erau autentice; acest lucru a fost verificat prin contactarea unor persoane afectate, care au confirmat corectitudinea informațiilor. Numeroase fotografii încărcate de utilizatori includeau și locația geografică exactă, în metadatele imaginilor, dezvăluind locul real în care au fost făcute pozele. În unele cazuri, aceste coordonate erau suficient de precise pentru a indica adresa de domiciliu a celor care au făcut fotografiile.

UK Visa Portal nu oferă în prezent niciun canal clar dedicat raportării problemelor de securitate și nu afișează pe site nume sau date de contact ale echipei de conducere. A fost trimis un mesaj la adresa de email listată pe site, pentru a anunța existența unei vulnerabilități active și pentru a întreba cui din management pot fi furnizate detaliile tehnice necesare remedierii. S-a explicat explicit că nu pot fi împărtășite informații sensibile prin adresa generală de suport clienți, întrucât nu exista garanția că datele deja expuse nu ar fi putut fi folosite abuziv.

Serviciul de suport a oferit numele și adresa de email ale lui Michael Taylor, prezentat drept manager la UK Visa Portal. Totuși, Taylor nu a răspuns solicitării. La scurt timp, avocați ai firmei americane BakerHostetler și reprezentanți ai companiei de consultanță în comunicare FTI Consulting au luat legătura pentru a cere informații suplimentare despre incidentul de securitate. Întrebați dacă pot dovedi că sunt autorizați să vorbească în numele UK Visa Portal, de exemplu printr-un document public care să confirme identitatea și poziția persoanelor reprezentate, avocații au refuzat să prezinte astfel de dovezi. S-a reiterat atunci că nu pot fi detaliate aspectele tehnice ale breșei în afara managementului companiei.

A fost sugerat că, în cazul în care Michael Taylor sau un alt manager este dispus să primească informațiile despre vulnerabilitate, aceștia pot trimite direct un mesaj sau pot fi incluși în firul de corespondență inițial. Nu a mai existat niciun răspuns. Ulterior publicării informațiilor și după ce bucket-ul a fost securizat, aceeași echipă juridică a primit o serie de întrebări legate de incident: de cât timp era expus bucket-ul găzduit de Amazon, care a fost cauza concretă a expunerii, dacă există loguri capabile să arate cine a accesat sau a descărcat fișierele compromise și cine este responsabil de securitatea cibernetică în cadrul UK Visa Portal, dacă există o astfel de persoană desemnată. Partenerul BakerHostetler, Ryan Christian, nu a oferit niciun răspuns la aceste intrebari.

UK Visa Portal ar fi administrat de o companie numită Active Leadgen LLC, care pretinde că își are sediul în Emiratele Arabe Unite, însă această informație nu a putut fi verificată în mod independent. Nu este necesar ca solicitanții să apeleze la servicii terțe pentru a obține o autorizație electronică de călătorie în Marea Britanie, dacă nu lucrează cu un avocat specializat în imigrație. Aplicanții sunt îndrumați să depună cererile direct prin site-ul oficial al guvernului britanic.

Articolul a fost publicat pentru prima dată pe 26 mai și ulterior actualizat cu detalii suplimentare despre breșa de securitate.