O Portal de Vistos do Reino Unido expôs milhares de passaportes e selfies de requerentes – e depois chamou os advogados para nos atender

Um site chamado UK Visa Portal expôs publicamente milhares de passaportes e selfies de candidatos que pagaram ao site para obter um visto de imigração no Reino Unido, descobriu o TechCrunch.

Uma pessoa anônima notificou o TechCrunch sobre a falha de segurança, dizendo que o site estava expondo pelo menos 100 mil documentos de pessoas que enviaram seus passaportes e selfies para o site como parte do processo de inscrição.

O site não é afiliado ao governo do Reino Unido e alguns ter reclamou que eles pagaram por engano uma taxa a esta empresa em vez de usando o site oficial GOV.UK.

Os dados expostos foram protegidos da noite para o dia até quarta-feira, horas depois de publicarmos nossa história inicial sobre o incidente. Dada a natureza altamente sensível dos dados expostos, o TechCrunch revelou que havia um problema de segurança contínuo, ao mesmo tempo que omitiu detalhes específicos para minimizar qualquer risco adicional às informações privadas dos indivíduos.

O TechCrunch ainda não recebeu resposta da administração do UK Visa Portal. Em vez de resolver o problema quando entramos em contato, a empresa enviou seus advogados e sua empresa de relações públicas até nós.

A falha de segurança é o exemplo mais recente de empresas que expuseram publicamente documentos de identidade confidenciais emitidos pelo governo dos seus clientes nas últimas semanas, muitas vezes causadas por uma configuração incorreta e não por um ataque cibernético externo. A exposição de passaportes é especialmente problemática numa altura em que as verificações de identidade online estão a aumentar em todo o mundo, graças a governos implementando leis de verificação de idade.

A falta de resposta da empresa também deixa em aberto questões sobre se irá alertar os clientes afetados de que os seus passaportes foram expostos publicamente ou notificar os reguladores conforme exigido pelas leis estaduais dos EUA e europeias de notificação de violação de dados.

Passaportes, selfies e dados de localização expostos

O vazamento de dados resultou de um servidor de armazenamento público hospedado na Amazon (também conhecido como bucket), que o UK Visa Portal usa para hospedar passaportes e selfies carregados por usuários.

Embora o bucket não listasse publicamente seu conteúdo, os arquivos ainda estavam acessíveis e visíveis para qualquer pessoa que conhecesse o endereço da web de cada arquivo. A pessoa que nos notificou sobre a exposição disse que um bug no back-end do site do Portal Visa do Reino Unido permitiu que visualizassem a lista de arquivos contidos no balde.

TechCrunch confirmou que Portal de vistos do Reino Unido (também conhecido como Visita ao Reino Unido e Passe ETA) foi a fonte do vazamento de dados e verificou a autenticidade dos dados expostos entrando em contato com os indivíduos afetados para perguntar se suas informações eram precisas.

Muitas das fotos enviadas pelos usuários também continham a localização precisa do mundo real, revelando onde as imagens foram tiradas; em alguns casos, esses dados de localização eram precisos o suficiente para expor o endereço residencial do autor da imagem.

O Portal Visa do Reino Unido não fornece uma maneira de relatar problemas de segurança por meio de seu site, nem seu site fornece nomes ou informações de contato para a administração da empresa. O TechCrunch enviou um e-mail para o endereço de e-mail listado no site do UK Visa Portal, alertando-os de que a empresa tinha uma falha de segurança contínua e perguntando com quem na administração poderíamos compartilhar detalhes para resolver o problema. O TechCrunch explicou que não poderíamos compartilhar detalhes com a caixa de entrada geral de suporte ao cliente da empresa porque não poderíamos garantir que os dados expostos não seriam utilizados indevidamente.

A pessoa de suporte ao cliente forneceu ao TechCrunch o nome e endereço de e-mail de Michael Taylor, que nos disseram ser gerente do UK Visa Portal. A pessoa não respondeu à nossa pergunta.

Logo depois, advogados do escritório de advocacia norte-americano BakerHostetler e representantes da empresa de relações públicas FTI Consulting contataram o TechCrunch em busca de informações sobre o assunto no UK Visa Portal. Quando questionados pelo TechCrunch, os advogados não forneceram provas de que estavam autorizados a falar em nome da empresa, como, por exemplo, fornecendo-nos um registo público confirmando o nome e a função dos indivíduos que afirmam representar. Observamos novamente que não poderíamos compartilhar informações sobre a falha de segurança fora da administração da empresa.

Acrescentamos que se Taylor, ou outro gerente, estiver disposto a aceitar informações sobre a falha de segurança, eles poderão entrar em contato – ou os advogados podem copiá-las no tópico de e-mail. Não tivemos resposta.

Depois que nossa história foi publicada e o balde protegido, o TechCrunch apresentou aos advogados uma série de perguntas sobre a falha de segurança. As perguntas que fizemos ao parceiro da BakerHostetler, Ryan Christian, incluíram quanto tempo o bucket hospedado na Amazon ficou exposto, o motivo da exposição e se a empresa tinha algum registro para determinar se alguém acessou ou baixou os dados expostos. Também perguntamos quem no UK Visa Portal é responsável pela segurança cibernética, se houver. Cristiano não respondeu.

O UK Visa Portal é supostamente administrado por uma empresa chamada Active Leadgen LLC, que afirma ser uma empresa sediada nos Emirados Árabes Unidos. O TechCrunch não conseguiu corroborar isso de forma independente.

Não é necessário usar um serviço de terceiros para solicitar uma autorização eletrônica de viagem no Reino Unido, a menos que você contrate um advogado de imigração, e os solicitantes devem inscreva-se através do site do governo do Reino Unido.

Publicado pela primeira vez em 26 de maio e atualizado com informações adicionais sobre a falha de segurança.