Утечка данных на портале UK Visa Portal: в открытом доступе оказались тысячи паспортов и селфи заявителей

Сторонний сервис UK Visa Portal, предлагающий платные услуги по оформлению британских виз, допустил масштабную утечку персональных данных. В открытом доступе оказались конфиденциальные документы тысяч людей, которые воспользовались ресурсом для получения разрешений на въезд в Великобританию.

Масштаб и причины инцидента

По данным профильных обозревателей, из-за ошибки в системе безопасности в сети оказалось не менее 100 000 документов. Утечка произошла из-за неправильной настройки облачного хранилища на базе сервиса Amazon (так называемого «бакета»). Несмотря на то, что прямой список файлов был скрыт, любой пользователь, знающий структуру веб-адреса, мог беспрепятственно просматривать и скачивать фотографии документов.

Среди скомпрометированных данных обнаружены:

• Цифровые копии заграничных паспортов.
• Фотографии заявителей (селфи), загруженные для верификации личности.
• Метаданные снимков, содержащие точные координаты места съемки.

Эксперты отмечают, что наличие GPS-меток на фотографиях представляет особую угрозу, так как в ряде случаев это позволило установить точные домашние адреса пострадавших пользователей.

Реакция компании и юридические сложности

Сервис UK Visa Portal (также работающий под брендами UK Visit и ETA-Pass) не является официальным правительственным ресурсом. В отчетах подчеркивается, что многие клиенты ошибочно принимали этот сайт за официальный портал GOV.UK и оплачивали услуги посредников, которые не являются обязательными.

В ходе расследования выяснилось, что администрация ресурса не предоставила возможности для оперативной связи по вопросам кибербезопасности. Вместо прямого устранения уязвимости после первых обращений, компания привлекла юридическую фирму BakerHostetler и PR-агентство. Доступ к открытому хранилищу был ограничен только после того, как информация об инциденте попала в СМИ. На данный момент руководство портала, предположительно связанное с компанией Active Leadgen LLC из ОАЭ, не предоставило разъяснений о том, как долго данные находились в открытом доступе и будут ли оповещены пострадавшие пользователи.

Риски и рекомендации

Ситуация с UK Visa Portal стала очередным примером того, как компании ставят под удар личную информацию клиентов из-за технических ошибок в облачных сервисах. В условиях повсеместного внедрения цифровых проверок личности и законов о верификации возраста, утечки паспортов становятся критически опасными, открывая возможности для мошенничества и кражи личности.

Специалисты по безопасности напоминают:

• Для оформления электронного разрешения на въезд в Великобританию (ETA) или виз следует использовать только официальные государственные сайты.
• Использование посредников не гарантирует ускорение процесса, но создает дополнительные риски для конфиденциальности.
• При загрузке фотографий на сторонние ресурсы рекомендуется очищать снимки от метаданных (EXIF), чтобы не раскрывать свое местоположение.