UK 비자 포털이라는 웹사이트가 영국 비자를 받기 위해 사이트에 돈을 주고 신청한 사람들의 수천 개의 여권과 사진을 공개했습니다. TechCrunch는 이를 알게 되었습니다.

익명의 사람이 TechCrunch에 보안 문제를 알렸으며, 웹사이트가 영국 비자 신청 과정에서 여권과 사진을 웹사이트에 업로드한 사람들로부터 최소 100,000 개의 문서를 노출하고 있었다고 말했습니다.

웹사이트는 영국 정부와 관련이 없으며, 일부는 오해하여이 회사에 비용을 지불했다고 공식 GOV.UK 웹사이트를이용하지 않고 지불했다고 불평했다.

유출된 데이터는 우리가 사건에 대한 초기 뉴스를 발표한 후 밤새 월요일까지 보안되었습니다. 유출된 데이터의 매우 민감한 성격을 고려하여 TechCrunch는 지속적인 보안 문제가 있음을 밝히면서도, 개인의 개인 정보에 대한 추가 위험을 최소화하기 위해 구체적인 세부 정보를 밝히지 않았습니다.

TechCrunch는 아직도 영국 비자 포털의 경영진으로부터 응답을 받지 못했습니다. 우리가 연락했을 때 문제를 해결하기보다는, 회사는 변호사들과 언론公关회사를 대신 보냈습니다.

보안 허점은 최근 몇 주 동안 기업들이 공개적으로 고객들의 민감한 정부 발급 신분증을 노출시킨 최근 사례의 하나로, 대부분 설정 오류 때문이지 외부 사이버 공격 때문이 아닙니다. 여권의 노출은 전 세계적으로 온라인 신분 확인이 증가하고 있는 시기에 특히 문제가 많습니다. 이는 정부들이 연령 확인 법률을 시행하면서 발생한 것입니다.

회사의 응답 부재는 또한 해당 고객들이 여권이 공개적으로 노출되었음을 알리거나, 미국 주 및 유럽 데이터 유출 통지법에 따라 규제 기관에 통지할 것인지에 대한 질문을 남깁니다.

노출된 여권, 사진, 위치 데이터

데이터 누출은 영국 비자 포털이 사용자 업로드한 여권과 사진을 호스팅하기 위해 사용하는 공개 Amazon 호스팅 저장 서버(버킷이라고도 함)에서 발생했습니다.

버킷이 공개적으로 내용을 목록화하지 않았을 때도, 버킷 내부의 파일은 각 파일의 웹 주소를 알고 있는 누구나 접근하고 확인할 수 있었습니다. 노출을 알려준 사람은 영국 비자 포털 웹사이트의 백엔드에 버그가 있어 버킷에 포함된 파일 목록을 볼 수 있었다고 말했습니다.

TechCrunch는 영국 비자 포털 (또는영국 방문과ETA-Pass은 데이터 유출의 원인이었고, 영향을 받은 사람들과 연락하여 그들의 정보가 정확한지 확인하여 노출된 데이터의 진위성을 검증했습니다.

유저가 업로드한 사진 중 많은 것들이 정확한 실제 위치를 포함하고 있어 사진이 촬영된 장소를 드러냈으며; 일부 경우에는 이 위치 데이터가 이미지 촬영자의 집 주소를 노출할 정도로 정확했습니다.

영국 비자 포털은 웹사이트를 통해 보안 문제를 신고하는 방법을 제공하지 않으며, 웹사이트에서도 회사의 경영진에 대한 이름이나 연락처 정보를 제공하지 않습니다. TechCrunch는 영국 비자 포털 웹사이트에 게시된 이메일 주소로 이메일을 보내 경영진에게 회사의 지속적인 보안 허점이 있는 것을 알리고, 문제를 해결하기 위해 경영진 중 누구와 세부 사항을 공유할 수 있는지 질문했습니다. TechCrunch는 회사의 일반 고객 지원 이메일함과 공유할 수 없는 이유를 설명했습니다. 이유는 노출된 데이터가 잘못 사용되지 않을 것을 보장할 수 없기 때문입니다.

고객 지원 담당자가 TechCrunch에게 우리가 영국 비자 포털의 매니저라고 들었던 마이클 테일러의 이름과 이메일 주소를 제공했습니다. 해당 담당자는 우리의 문의에 답하지 않았습니다.

이후, 미국 법률사무소 BakerHostetler의 변호사들과 공중연결기업 FTI Consulting의 대표들이 UK 비자 포털에서의 문제에 대한 정보를 요청하기 위해 TechCrunch와 연락했습니다. TechCrunch에 질문했을 때, 변호사들은 회사를 대표하여 말할 수 있는 권한을 증명할 증거를 제공하지 않았습니다. 예를 들어, 우리에게 그들이 대표한다고 주장하는 개인의 이름과 역할을 확인하는 공공기록을 제공하지 않았습니다. 우리는 다시 회사의 관리 외부에서 보안 결함에 대한 정보를 공유할 수 없다는 점을 지적했습니다. 

테일러 또는 다른 관리자가 보안 결함에 대한 정보를 받아들일 의향이 있다면 그들은 연락할 수 있으며 — 또는 변호사들은 이메일 스레드에 그들을 복사할 수 있습니다. 우리는 응답을 받지 못했습니다.

우리의 이야기가 발표되고 버킷이 확보된 후, TechCrunch는 변호사들에게 보안 허점에 대한 일련의 질문을 제기했습니다. 우리가 BakerHostetler 파트너 Ryan Christian에게 묻은 질문에는 Amazon에서 호스팅된 버킷이 얼마 동안 노출되었는지, 노출된 이유, 그리고 회사가 노출된 데이터에 접근하거나 다운로드했는지 확인할 수 있는 로그가 있는지 포함되었습니다. 또한 UK Visa Portal에서 사이버 보안에 대한 책임이 있는 사람이 있는지 묻었습니다. Christian은 답변하지 않았습니다. 

UK 비자 포털은 Active Leadgen LLC이라는 회사가 운영한다고 알려졌는데, 이 회사는 유엔 아랍에미리트에 본사를 둔 회사라고 주장합니다. TechCrunch는 이를 독립적으로 확인할 수 없었습니다.

영국의 전자 여행 승인을 신청하기 위해 제3자 서비스를 사용할 필요는 없습니다. 이민 변호사를 고용하고 있지 않다면, 지원자는 영국 정부의 웹사이트를 통해 지원해야 합니다..

5월 26일 처음 게시되었으며, 보안 허점에 대한 추가 정보로 업데이트되었습니다.