Вебсайт під назвою UK Visa Portal публічно розкриває паспорти та селфі людей, які зареєструвалися й заплатили сервісу за отримання імміграційної візи до Великої Британії.
Анонімний інформатор повідомив TechCrunch про цю вразливість безпеки, сказавши, що сайт відкрито демонструє щонайменше 100 000 документів людей, які завантажили свої паспорти та селфі в рамках візової заявки.
Сайт не має жодного відношення до уряду Великої Британії, і деякі користувачі вже скаржилися, що помилково заплатили цьому сервісу, замість того щоб скористатися офіційним сайтом GOV.UK.
TechCrunch підтвердив, що джерелом витоку даних є саме UK Visa Portal, і перевірив автентичність опублікованих даних, зв’язавшись із постраждалими людьми та уточнивши, чи є їхня інформація достовірною.
UK Visa Portal не має на своєму сайті способу повідомити про проблеми безпеки, а також не надає імен чи контактів керівництва компанії. TechCrunch надіслав електронного листа на адресу, зазначену на сайті UK Visa Portal, щоб попередити компанію про триваючу проблему безпеки та з’ясувати, хто з керівництва може прийняти детальну інформацію для її усунення. З огляду на чутливість розкритих даних, TechCrunch пояснив, що не може ділитися деталями через загальну адресу служби підтримки, оскільки немає гарантій, що ці дані не будуть використані зловмисно.
Натомість відповідь надійшла від нібито адвокатів і PR-агентства компанії. TechCrunch знову пояснив, що, враховуючи характер витоку, може ділитися деталями лише безпосередньо з керівництвом UK Visa Portal, і попросив встановити прямий контакт.
Керівництво UK Visa Portal так і не відповіло. Проблему безпеки досі не усунуто.
Поки вразливість залишається актуальною, TechCrunch вважає, що в інтересах громадськості попередити користувачів цього сервісу про ризики. При цьому видання не розкриває точних технічних деталей витоку, щоб мінімізувати подальшу загрозу для їхніх даних.