علم موقع TechCrunch أن موقعًا إلكترونيًا يسمى UK Visa Portal كشف علنًا عن آلاف جوازات السفر والصور الشخصية للمتقدمين الذين دفعوا للموقع للحصول على تأشيرة هجرة إلى المملكة المتحدة.
أبلغ شخص مجهول موقع TechCrunch بشأن الثغرة الأمنية، قائلًا إن الموقع يعرض ما لا يقل عن 100000 وثيقة من الأشخاص الذين قاموا بتحميل جوازات سفرهم وصورهم الشخصية على الموقع كجزء من عملية التقديم.
الموقع ليس تابعًا لحكومة المملكة المتحدة، وقد اشتكى البعض من أنهم دفعوا رسومًا لهذه الشركة عن طريق الخطأ بدلاً من استخدام موقع GOV.UK الرسمي.
تم تأمين البيانات المكشوفة خلال ليلة الأربعاء، بعد ساعات من نشر قصتنا الأولية حول الحادث. ونظرًا للطبيعة الحساسة للغاية للبيانات المكشوفة، كشفت TechCrunch عن وجود مشكلة أمنية مستمرة، مع حجب تفاصيل محددة لتقليل أي مخاطر إضافية على المعلومات الخاصة للأفراد.
لم تتلق TechCrunch أي رد حتى الآن من إدارة UK Visa Portal. وبدلاً من إصلاح المشكلة عندما تواصلنا معها، أرسلت الشركة محاميها وشركة العلاقات العامة الخاصة بها إلينا بدلاً من ذلك.
يعد هذا الثغرة الأمنية أحدث مثال على قيام الشركات بالكشف علنًا عن وثائق الهوية الحساسة الصادرة عن الحكومة لعملائها في الأسابيع الأخيرة، وغالبًا ما يحدث ذلك بسبب خطأ في التكوين وليس بسبب هجوم إلكتروني خارجي. ويشكل الكشف عن جوازات السفر مشكلة خاصة في وقت تتزايد فيه عمليات التحقق من الهوية عبر الإنترنت في جميع أنحاء العالم، وذلك بفضل قيام الحكومات بإصدار قوانين التحقق من العمر.
كما أن عدم استجابة الشركة يترك أسئلة مفتوحة حول ما إذا كانت ستنبه العملاء المتأثرين بأن جوازات سفرهم قد تم الكشف عنها علنًا، أو ستخطر المنظمين كما هو مطلوب بموجب قوانين الإخطار بخرق البيانات الأمريكية والأوروبية.
جوازات السفر المكشوفة، وصور شخصية، وبيانات الموقع
نشأ تسرب البيانات من خادم تخزين عام تستضيفه أمازون (المعروف أيضًا باسم الدلو)، والذي تستخدمه UK Visa Portal لاستضافة جوازات السفر والصور الشخصية التي تم تحميلها بواسطة المستخدم.
على الرغم من أن المجموعة لم تكن تدرج محتوياتها علنًا، إلا أن الملفات الموجودة بداخلها كانت لا تزال قابلة للوصول والعرض لأي شخص يعرف عنوان الويب لكل ملف. قال الشخص الذي أبلغنا بشأن التعرض إن هناك خطأ في الواجهة الخلفية لموقع UK Visa Portal سمح له بعرض قائمة الملفات الموجودة في المجموعة.
أكدت TechCrunch أن بوابة تأشيرة المملكة المتحدة (المعروفة أيضًا باسم UK Visit وETA-Pass) كانت مصدر تسرب البيانات وتحققت من صحة البيانات المكشوفة عن طريق الاتصال بالأفراد المتأثرين للسؤال عما إذا كانت معلوماتهم دقيقة.
تحتوي العديد من الصور التي تم تحميلها بواسطة المستخدم أيضًا على الموقع الدقيق في العالم الحقيقي، مما يكشف عن مكان التقاط الصور؛ وفي بعض الحالات، كانت بيانات الموقع هذه دقيقة بما يكفي للكشف عن عنوان منزل ملتقط الصورة.
لا توفر بوابة UK Visa Portal طريقة للإبلاغ عن المشكلات الأمنية من خلال موقعها الإلكتروني، كما لا يوفر موقعها الإلكتروني أسماء أو معلومات اتصال لإدارة الشركة. أرسلت TechCrunch بريدًا إلكترونيًا إلى عنوان البريد الإلكتروني المدرج على موقع UK Visa Portal الإلكتروني، لتنبيههم بأن الشركة تعاني من ثغرة أمنية مستمرة وسؤالهم مع من في الإدارة يمكننا مشاركة التفاصيل لحل المشكلة. أوضح موقع TechCrunch أنه لا يمكننا مشاركة التفاصيل مع صندوق البريد الوارد العام لدعم العملاء بالشركة لأنه لا يمكننا ضمان عدم إساءة استخدام البيانات المكشوفة.
قام مسؤول دعم العملاء بتزويد TechCrunch بالاسم وعنوان البريد الإلكتروني لمايكل تايلور، الذي قيل لنا أنه مدير في UK Visa Portal. ولم يرد الشخص على استفسارنا.
بعد فترة وجيزة، اتصل محامون من شركة المحاماة الأمريكية BakerHostetler وممثلون من شركة العلاقات العامة FTI Consulting بـ TechCrunch للحصول على معلومات حول المشكلة في UK Visa Portal. عندما سألهم موقع TechCrunch، لم يقدم المحامون دليلاً على أنه مخول لهم التحدث نيابة عن الشركة، مثل تزويدنا بسجل عام يؤكد اسم ودور الأفراد الذين يدعون أنهم يمثلونهم. لقد لاحظنا مرة أخرى أنه لا يمكننا مشاركة المعلومات حول الثغرة الأمنية خارج إدارة الشركة.
أضفنا أنه إذا كان تايلور، أو أي مدير آخر، على استعداد لقبول معلومات حول الثغرة الأمنية، فيمكنهم التواصل معنا – أو يمكن للمحامين نسخها في سلسلة رسائل البريد الإلكتروني. لم نسمع ردا.
بعد نشر قصتنا وتأمين الحاوية، قدمت TechCrunch للمحامين سلسلة من الأسئلة حول الثغرة الأمنية. تضمنت الأسئلة التي طرحناها على شريك BakerHostetler، ريان كريستيان، المدة التي تم فيها كشف الحاوية التي تستضيفها أمازون، وسبب كشفها، وما إذا كان لدى الشركة أي سجلات لتحديد ما إذا كان أي شخص قد وصل إلى البيانات المكشوفة أو قام بتنزيلها. لقد سألنا أيضًا عن الجهة المسؤولة في UK Visa Portal عن الأمن السيبراني، إن وجدت. كريستيان لم يستجب.
يُزعم أن بوابة تأشيرة المملكة المتحدة تُدار من قبل شركة تدعى Active Leadgen LLC، والتي تزعم أنها شركة مقرها في الإمارات العربية المتحدة. ولم يتمكن TechCrunch من تأكيد ذلك بشكل مستقل.
ليس من الضروري استخدام خدمة طرف ثالث للتقدم بطلب للحصول على تصريح سفر إلكتروني في المملكة المتحدة، إلا إذا كنت توكيل محامي هجرة، ويجب على المتقدمين التقديم من خلال الموقع الإلكتروني لحكومة المملكة المتحدة.
تم نشره لأول مرة في 26 مايو وتم تحديثه بمعلومات إضافية حول الثغرة الأمنية.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.
اكتشاف المزيد من في بي دبليو الشامل
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
