一個名為 UK Visa Portal 的網站公然洩露了成千上萬申請人支付該網站以獲得英國移民簽證的護照和自拍照，TechCrunch 得知此事.

一位匿名人士通知 TechCrunch 關於這次安全漏洞，表示該網站正在洩露至少 100,000 份來自上傳護照和自拍照以作為申請過程一部分的人的文件。

該網站並非英國政府的聯繫網站，且有些人已投訴，指他們誤會支付了此公司的費用，而不是透過官方 GOV.UK 網站。

洩露的資料在周三晚上已被加強保護，在我們發布關於此次事件的初步報導後數小時。考慮到洩露的資料高度敏感，TechCrunch透露存在一項持續的安全問題，同時保留具體細節以減少對個人隱私信息的額外風險。

TechCrunch 仍然沒有收到英國簽證網站的管治層回覆。在我們聯繫時，公司並沒有解決問題，反而派了其律師和公共關係公司來找我們。

安全漏洞是近期公司公開暴露客戶政府發行的身份文件的最新例子，這通常是由於設定錯誤，而非外部網路攻擊所引起。在線上身份核實在全球範圍內日益增長的時候，護照的暴露尤其嚴重，這要歸功於政府推出年齡核實法律。

公司缺乏回應也引發疑問，它會不會通知受影響客戶他們的護照曾在公開場合洩露，或是按照美國州和歐洲數據洩露通知法規的要求通知監管機構.

洩露的護照、自拍照和位置數據

資料洩露源於一個公開的 Amazon 主機儲存伺服器（又稱為桶），英國簽證網站使用它來主機用戶上傳的護照和自拍照。

雖然桶狀資料夾沒有公開列出其內容，但桶狀資料夾內的檔案仍然可供任何知道每個檔案網址的人存取和查看。通知我們關於洩露情況的人表示，英國簽證網站後端的一個錯誤使他們能夠查看桶狀資料夾中包含的檔案清單。

TechCrunch 確認了 英國簽證網站（也稱為英國訪問和ETA-Pass是數據洩露的來源，並透過聯繫受影響者以確認洩露數據的真實性，方法是詢問他們的資訊是否準確。

很多用戶上傳的照片也包含了確切的實際位置，揭露了照片是在哪裡拍的；在某些情況下，這個位置數據準確到足以暴露拍照者的家庭地址。

英國簽證網站並未提供透過其網站報告安全問題的方式，其網站亦未提供該公司管理層的姓名或聯繫資訊。TechCrunch 向英國簽證網站列出的電子郵件地址發送了郵件，提醒他們該公司存在持續的安全漏洞，並詢問我們可以向管理層中的誰分享細節以解決問題。TechCrunch 解釋說，我們無法向該公司的通用客戶支持郵箱分享具體信息，因為我們無法保證暴露的數據不會被濫用。

客戶支援人員向TechCrunch提供了Michael Taylor的姓名和電子郵件地址，我們被告知他是UK Visa Portal的經理。此人沒有回覆我們的詢問。

不久之後，美國律師事務所 BakerHostetler 的律師與公共關係事務所 FTI Consulting 的代表聯繫了 TechCrunch，尋求有關 UK Visa Portal 上問題的資訊。當 TechCrunch 詢問時，這些律師拒絕提供證據，證明他們有權代表該公司發言，例如提供一份公眾記錄來確認他們所聲稱代表的個別人士的名字和職位。我們再次指出，我們無法分享公司管理層以外的安全漏洞資訊。 

我們補充說如果泰勒或另一位經理願意接受關於安全漏洞的資訊，他們可以聯繫 — 或者律師可以將他們抄送在郵件串連中。我們沒有收到回覆。

在我們的故事發表並確保了桶後，TechCrunch 向律師們提出了一系列關於安全漏洞的問題。我們向 BakerHostetler 合夥人 Ryan Christian 提問的問題包括 Amazon 托管的桶暴露了多久、暴露的原因，以及公司是否有日誌來確定是否有人訪問或下載了暴露的數據。我們還問了 UK Visa Portal 中誰負責網絡安全，如果有的話。Christian 沒有回應。 

英國簽證網站據稱由一間名為 Active Leadgen LLC 的公司運作，聲稱其為阿拉伯聯合酋長國的公司。TechCrunch 無法獨立證實此事。

申請英國電子旅遊授權不需要使用第三方服務，除非你聘請了移民律師，申請人應該 透過英國政府的網站申請。.

首度發表於5月26日，並更新了有關安全漏洞的額外資訊.