Сайт під назвою UK Visa Portal публічно відкрив доступ до тисяч фотографій паспортів і селфі людей, які заплатили сервісу за оформлення імміграційної візи до Великої Британії, з’ясував TechCrunch.
Анонімне джерело повідомило TechCrunch про проблему безпеки, заявивши, що сайт відкривав щонайменше 100 000 документів людей, які завантажували свої паспорти та селфі в рамках процесу подання заявки.
Сайт не пов’язаний із урядом Великої Британії, і деякі користувачі вже скаржилися, що помилково заплатили збір цій компанії замість того, щоб скористатися офіційним сайтом GOV.UK.
Витік були закрито в ніч на середу, за кілька годин після того, як TechCrunch опублікував перший матеріал про інцидент. З огляду на особливо чутливий характер оприлюднених даних, TechCrunch повідомив лише про наявність триваючої проблеми безпеки, утримавшись від конкретних технічних деталей, щоб мінімізувати додаткові ризики для конфіденційної інформації людей.
TechCrunch досі не отримав відповіді від керівництва UK Visa Portal. Замість того, щоб виправити проблему після звернення журналістів, компанія надіслала до редакції своїх юристів та представників PR-агентства.
Цей інцидент — черговий приклад того, як компанії публічно розкривають чутливі документи, що посвідчують особу, за останні тижні. Часто йдеться не про зовнішню кібератаку, а про неправильну конфігурацію сервісів. Витік паспортних даних особливо небезпечний у час, коли онлайн-перевірки особи швидко поширюються у світі через запровадження урядами законів про верифікацію віку.
Відсутність відповіді з боку компанії також породжує питання, чи повідомлять постраждалих клієнтів про те, що їхні паспорти були у відкритому доступі, та чи сповістять регуляторів, як цього вимагають закони США про повідомлення про витоки даних і європейське законодавство.
Витік паспортів, селфі та даних про місцезнаходження
Причиною витоку став публічний сервер зберігання даних Amazon (так зване bucket-сховище), який UK Visa Portal використовує для розміщення завантажених користувачами паспортів та селфі.
Хоча bucket не публікував список своїх вмістів, окремі файли всередині були доступні й переглядалися будь-ким, хто знав вебадресу конкретного файлу. Людина, яка повідомила про витік, заявила, що через помилку в бекенді сайту UK Visa Portal вона змогла переглянути список файлів у цьому сховищі.
TechCrunch підтвердив, що UK Visa Portal (також відомий як UK Visit та ETA-Pass) є джерелом витоку та перевірив автентичність даних, зв’язавшись із постраждалими особами й уточнивши, чи коректна розміщена про них інформація.
Багато завантажених користувачами фотографій містили точні геодані, що показували місце зйомки; у деяких випадках ці дані дозволяли встановити навіть домашню адресу людини, яка зробила знімок.
Сайт UK Visa Portal не має окремого каналу для повідомлень про проблеми безпеки, а також не містить імен або контактів керівництва компанії. TechCrunch надіслав листа на електронну адресу, вказану на сайті UK Visa Portal, попередивши, що в компанії триває інцидент із безпекою, і попросив контакти представника менеджменту, з яким можна було б поділитися деталями для розв’язання проблеми. TechCrunch пояснив, що не може передавати технічні подробиці на загальну адресу служби підтримки, оскільки немає гарантій, що витік даних не буде використано зловмисно.
Співробітник служби підтримки надав TechCrunch ім’я та адресу електронної пошти Майкла Тейлора, якого назвали менеджером UK Visa Portal. На лист до нього відповіді не надійшло.
Невдовзі після цього до TechCrunch звернулися юристи американської фірми BakerHostetler та представники PR-агентства FTI Consulting із запитом надати інформацію про інцидент в UK Visa Portal. На запит TechCrunch юристи відмовилися надати докази того, що вони уповноважені діяти від імені компанії, наприклад, публічні записи з підтвердженням імен і посад осіб, яких вони представляють. Редакція ще раз наголосила, що не може ділитися інформацією про вразливість з кимось, окрім офіційного керівництва компанії.
TechCrunch додав, що якщо Тейлор або інший менеджер готові прийняти інформацію про проблему безпеки, вони можуть самі вийти на контакт — або юристи можуть додати їх у копію листування. Відповіді не було.
Після публікації матеріалу і закриття доступу до bucket TechCrunch надіслав юристам перелік запитань щодо інциденту. Зокрема партнеру BakerHostetler Райану Крістіану поставили питання, як довго bucket Amazon був у відкритому доступі, чому це сталося та чи є в компанії журнали подій, які дозволяють встановити, чи хтось ще мав доступ або завантажував витіклі дані. Також журналісти поцікавилися, хто в UK Visa Portal відповідає за кібербезпеку, якщо така людина взагалі є. Крістіан не відповів.
Передбачається, що UK Visa Portal керує компанія Active Leadgen LLC, яка нібито базується в Об’єднаних Арабських Еміратах. TechCrunch не зміг самостійно це підтвердити.
Для оформлення електронного дозволу на подорож до Великої Британії (ETA) немає необхідності користуватися послугами сторонніх сервісів, якщо лише ви не залучаєте імміграційного адвоката. Заявники мають подавати документи через офіційний сайт уряду Великої Британії.
Матеріал уперше опубліковано 26 травня та оновлено додатковою інформацією про інцидент із безпекою.