Un sitio web llamado UK Visa Portal está exponiendo abiertamente miles de pasaportes y selfies de solicitantes que pagaron al sitio para obtener visas de inmigración del Reino Unido, según se enteró TechCrunch.
Una persona anónima alertó a TechCrunch sobre la falla de seguridad, diciendo que el sitio web expuso al menos 100.000 documentos de personas que subieron sus pasaportes y selfies al sitio web como parte del proceso de solicitud.
Este sitio web no está afiliado al gobierno del Reino Unido y un número de propio suspiro que pagaron tarifas por error a esta empresa utilizando el sitio web oficial GOV.UK.
Los datos expuestos se aseguraron durante la noche y hasta el miércoles, horas después de que publicáramos nuestra historia inicial sobre el incidente. Dada la naturaleza altamente confidencial de los datos expuestos, TechCrunch reveló que existen preocupaciones de seguridad constantes, pero mantiene detalles específicos en secreto para minimizar riesgos adicionales para la información personal de las personas.
TechCrunch aún no ha recibido noticias de la administración del Portal Visa del Reino Unido. En lugar de resolver el problema cuando nos contactamos, la empresa nos envió a sus abogados y a su firma de relaciones públicas.
La falla de seguridad es el último ejemplo de empresas que exponen públicamente los documentos de identidad confidenciales emitidos por el gobierno de sus clientes en las últimas semanas, a menudo causado por configuraciones erróneas en lugar de ataques cibernéticos externos. La exposición de los pasaportes es especialmente problemática en un momento en que los controles de identidad en línea están aumentando en todo el mundo, esto se debe a que los gobiernos implementan leyes de verificación de edad.
La falta de respuesta de la compañía también deja abiertas preguntas sobre si advertirá a los clientes afectados que sus pasaportes están expuestos al público o notificará a los reguladores como lo exigen las leyes de notificación de violaciones de datos en los estados de EE. UU. y Europa.
Los datos de pasaporte, selfies y ubicación están abiertos
La filtración de datos provino de un servidor de almacenamiento público alojado en Amazon (también conocido como depósito), que el Portal Visa del Reino Unido utiliza para alojar pasaportes y selfies cargados por los usuarios.
Aunque un depósito no enumera su contenido públicamente, cualquier persona que conozca la dirección web de cada archivo puede acceder y ver los archivos que contiene. La persona que nos informó sobre la exposición dijo que había un error en el backend del sitio web del Portal Visa del Reino Unido que les permitía ver una lista de archivos contenidos en el depósito.
TechCrunch confirmó que Portal de visas del Reino Unido (también conocido como Visita al Reino Unido Y Pase ETA) es la fuente de la filtración de datos y verifica la autenticidad de los datos expuestos contactando a las personas afectadas para preguntarles si su información es precisa.
Muchas fotografías subidas por usuarios también contienen ubicaciones reales del mundo real, lo que revela dónde se tomó la imagen; en algunos casos, estos datos de ubicación son lo suficientemente precisos como para revelar la dirección particular del tomador de la imagen.
El Portal de Visas del Reino Unido no proporciona una forma de informar problemas de seguridad a través de su sitio web, ni su sitio web proporciona nombres o información de contacto para la administración de la empresa. TechCrunch envió un correo electrónico a las direcciones de correo electrónico que figuran en el sitio web del Portal Visa del Reino Unido, alertándoles que la empresa estaba experimentando una falla de seguridad y preguntando quién en nuestra administración podría compartir detalles para resolver el problema. TechCrunch explica que no podemos compartir detalles específicos con la bandeja de entrada general de atención al cliente de la empresa porque no podemos garantizar que los datos expuestos no se utilicen indebidamente.
El personal de atención al cliente proporcionó a TechCrunch el nombre y la dirección de correo electrónico de Michael Taylor, de quien nos dijeron que era gerente del Portal Visa del Reino Unido. La persona no respondió a nuestras preguntas.
Poco después, los abogados del bufete de abogados estadounidense BakerHostetler y representantes de la firma de relaciones públicas FTI Consulting se pusieron en contacto con TechCrunch en busca de información sobre el tema en el Portal Visa del Reino Unido. Cuando TechCrunch les preguntó, los abogados no proporcionaron pruebas de que estuvieran autorizados a hablar en nombre de la empresa, como proporcionarnos registros públicos que confirmen los nombres y funciones de las personas que representan. Observamos una vez más que no podemos compartir información sobre debilidades de seguridad fuera de la gestión de la empresa.
Agregamos que si Taylor u otro gerente estuviera dispuesto a recibir información sobre la falla de seguridad, podrían ponerse en contacto o un abogado podría copiarla en una cadena de correo electrónico. No obtuvimos respuesta.
Después de que se publicó nuestra historia y se aseguró el depósito, TechCrunch hizo a los abogados una serie de preguntas sobre la falla de seguridad. Las preguntas que le hicimos al socio de BakerHostetler, Ryan Christian, incluyeron cuánto tiempo estuvo expuesto el depósito alojado en Amazon, por qué estuvo expuesto y si la empresa tenía registros para determinar si alguien accedió o descargó los datos expuestos. También preguntamos quién en el Portal de Visas del Reino Unido es responsable de la seguridad cibernética, si es que hay alguien. Cristian no respondió.
El portal Visa del Reino Unido supuestamente está dirigido por una empresa llamada Active Leadgen LLC, que afirma ser una empresa con sede en los Emiratos Árabes Unidos. TechCrunch no pudo corroborar esto de forma independiente.
No necesita utilizar un servicio de terceros para solicitar un permiso de viaje electrónico del Reino Unido, a menos que contrate a un abogado de inmigración, y el solicitante debe aplicar a través del sitio web del gobierno del Reino Unido.
Publicado por primera vez el 26 de mayo y actualizado con información adicional sobre la falla de seguridad.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
