UKビザポータルと呼ばれるウェブサイトが、U.K.移民ビザを取得するためにサイトに支払った申請者のパスポートと自撮り写真を数千件公開していました。テッククラunchが確認しました。
匿名の人物がテッククラunchにセキュリティ上の問題を知らせ、そのサイトがパスポートと自撮り写真を申請の過程でアップロードした申請者の少なくとも100,000件の文書を公開していると述べています。
このウェブサイトはイギリス政府と関連しておりません、また一部は誤ってこの会社にお金を払ったと公式のGOV.UKウェブサイトを使うべきだったと不満を述べています。
露されたデータは、私たちがこの事件に関する初めての記事を公開した数時間後、水曜日まで夜通しで保護されました。露されたデータの非常に機密性の高い性質を考慮し、TechCrunchは、特定の詳細を抑えつつ、個人のプライベート情報への追加のリスクを最小限に抑えるため、継続的なセキュリティ上の問題があることを明らかにしました。
テッククラunchはまだ英国ビザポータルの経営陣から返事を得ていません。私たちが問い合わせた際に問題を解決する代わりに、会社は弁護士と広報会社を私たちに送り込んでしまいました。
セキュリティの漏洩は、最近数週間にわたって企業が顧客の機密な政府発行の身分証明書を公開した最新の例であり、多くの場合、外部のサイバー攻撃ではなく設定ミスが原因です。パスポートの公開は、オンラインの身分証明チェックが世界中で増加している時に特に問題です。これは、政府が年齢確認法を導入していることによるものです。
会社の対応不足は、影響を受けた顧客にパスポートが公開されたことを警告するかどうか、または米国の州とヨーロッパのデータ漏洩通知法に基づいて規制機関に通知するかどうかについての疑問を残しています.
データ漏洩は、UKビザポータルがユーザーがアップロードしたパスポートと自撮り写真をホスティングするために使用する公開Amazonホスティングストレージサーバー(バケットとも呼ばれる)に起因しました。
バケットがその内容を公開していないにもかかわらず、その中のファイルは誰でも各ファイルのウェブアドレスを知っていればアクセスし、閲覧することができた。私たちにこの漏洩について知らせてくれた人は、__UK Visa Portal__ウェブサイトのバックエンドに存在したバグが、バケットに含まれるファイルのリストを閲覧できるようにしたと言った。
テッククラunchは、__UK Visa Portal(__UK Visa Portal__(また呼ばれる)とも知られている)イギリス訪問とETA-Passはデータ漏洩の原因であり、影響を受けた個人に連絡して彼らの情報が正確かどうかを尋ねることで、公開されたデータの真実性を確認しました。
ユーザーがアップロードした写真の多くにも、正確な現実世界の位置情報が含まれており、画像がどの地点で撮影されたかが明らかになりました;一部のケースでは、この位置情報が十分に正確であったため、画像を撮影した人の自宅住所が暴露されることさえありました。
UKビザポータルは、ウェブサイトを通じてセキュリティ上の問題を報告する方法を提供しておらず、またそのウェブサイトには、会社の経営陣の名前や連絡先情報も提供していません。TechCrunchは、UKビザポータルのウェブサイトに記載されているメールアドレスにメールを送り、会社に継続的なセキュリティ上の問題があることを通知し、問題を解決するために経営陣の誰と詳細を共有できるか尋ねました。TechCrunchは、会社の一般のカスタマーサポートインボックスに具体的な情報を共有できない理由を説明し、公開されたデータが悪用されないことを保証できないため、そのような行為はできないと述べました。
カスタマーサポートの担当者は、テッククラunchにマイケル・テイラーの名前とメールアドレスを提供しました。私たちがUKビザポータルのマネージャーだと聞かされた人物ですが、その人物は私たちの問い合わせに返事しませんでした。
その後すぐに、アメリカの法律事務所BakerHostetlerの弁護士と公共関係事務所FTI Consultingの代表者らが、UKビザポータルで問題についての情報を求めてTechCrunchに連絡しました。TechCrunchから尋ねられた弁護士らは、会社を代表して発言する権限があることを証明する証拠を提供しませんでした。例えば、彼らが代表していると主張する個人の名前と役割を確認する公的記録を私たちに提供することなどです。私たちは再び、会社の管理外でセキュリティの欠陥に関する情報を共有することはできないことを指摘しました。
テイラー、または他のマネージャーがセキュリティの欠陥に関する情報を受け入れる意思がある場合、連絡を取ることができる、または弁護士がメールのスレッドにコピーしてもらうことができると追加しました。返信はありませんでした。
私たちのストーリーが公開されバケットが確保された後、TechCrunchは弁護士たちにセキュリティの欠陥に関する一連の質問を提示しました。私たちがBakerHostetlerパートナーのRyan Christianに尋ねた質問には、Amazonがホストするバケットがどのくらいの期間公開されていたか、公開された理由、そして会社が誰かが公開されたデータにアクセスまたはダウンロードしたかを判断するためのログを持っているかが含まれていました。私たちはまた、UK Visa Portalで誰がサイバーセキュリティの責任を負っているか、もし誰かいるならを尋ねました。Christianは回答しませんでした。
UKビザポータルは、アラブ首長国連邦に拠点を置くと主張するActive Leadgen LLCという会社が運営しているとされるが、テッククラunchはこれを独立して確認することができなかった。
UK電子旅行認証を申請するのに第三者のサービスを使用する必要はありませんが、移民弁護士を雇っている場合は除きます。申請者はUK政府のウェブサイトを通じて申請するべきです。.
5月26日に初めて公開され、セキュリティ上の問題に関する追加情報で更新されました.
当社の記事内のリンクを通じて購入いただくと、小さなコマッションを得る可能性があります。これは当社の編集の独立を影響しません。
このコンテンツは慣性聚合(RSSリーダー)によって自動集約されています。参考としてご覧ください。 原文出典 — 著作権は原著者に帰属します。