Nội dung bài viết
StrictlyVC đầu tiên của năm 2026 sẽ ra mắt SF vào ngày 30 tháng 4. Vé đang bán rất nhanh.
Đăng ký ngay bây giờ. Nhận khoản tiết kiệm từ chương trình Disrupt Early Bird lên tới 410 USD trước 11:59 tối ngày 29 tháng 5.
PT. Đăng ký ngay bây giờ.
TechCrunch cho biết, một trang web có tên Cổng thông tin thị thực Vương quốc Anh đã công khai tiết lộ hàng nghìn hộ chiếu và ảnh selfie của những người nộp đơn đã trả tiền cho trang này để có được thị thực nhập cư vào Vương quốc Anh.
Một người ẩn danh đã thông báo cho TechCrunch về lỗ hổng bảo mật, nói rằng trang web này đã tiết lộ ít nhất 100.000 tài liệu từ những người đã tải hộ chiếu và ảnh tự chụp của họ lên trang web như một phần của quy trình đăng ký.
Trang web này không liên kết với chính phủ Vương quốc Anh và một số người đã phàn nàn rằng họ đã thanh toán nhầm một khoản phí cho công ty này thay vì sử dụng trang web chính thức của GOV.UK.
Dữ liệu bị lộ đã được bảo mật qua đêm đến thứ Tư, vài giờ sau khi chúng tôi xuất bản câu chuyện đầu tiên về vụ việc.
Do tính chất rất nhạy cảm của dữ liệu bị lộ, TechCrunch tiết lộ rằng có một vấn đề bảo mật đang diễn ra, đồng thời giữ lại các chi tiết cụ thể để giảm thiểu mọi rủi ro bổ sung đối với thông tin cá nhân của cá nhân. TechCrunch vẫn chưa nhận được phản hồi từ ban quản lý Cổng Visa Vương quốc Anh.
Thay vì khắc phục sự cố Khi chúng tôi liên hệ, công ty đã cử luật sư và công ty quan hệ công chúng tới chỗ chúng tôi.
Sai sót bảo mật là ví dụ mới nhất về việc các công ty công khai tiết lộ tài liệu nhận dạng nhạy cảm do chính phủ cấp của khách hàng trong những tuần gần đây, thường do cấu hình sai chứ không phải do một cuộc tấn công mạng bên ngoài.
Việc lộ hộ chiếu đặc biệt trở thành vấn đề vào thời điểm việc kiểm tra danh tính trực tuyến đang gia tăng trên khắp thế giới, nhờ các chính phủ triển khai luật xác minh độ tuổi.
Việc công ty không phản hồi cũng đặt ra câu hỏi mở về việc liệu họ có cảnh báo cho khách hàng bị ảnh hưởng rằng hộ chiếu của họ bị lộ công khai hay thông báo cho cơ quan quản lý theo yêu cầu của luật thông báo vi phạm dữ liệu của tiểu bang Hoa Kỳ và Châu Âu.
Sự cố tràn dữ liệu bắt nguồn từ một máy chủ lưu trữ công cộng do Amazon lưu trữ (còn được gọi là bộ chứa), mà Cổng Visa Vương quốc Anh sử dụng để lưu trữ hộ chiếu và ảnh tự chụp do người dùng tải lên.
Mặc dù nhóm không liệt kê công khai nội dung của nó nhưng các tệp bên trong vẫn có thể truy cập và xem được đối với bất kỳ ai biết địa chỉ web của từng tệp.
Người đã thông báo cho chúng tôi về việc lộ thông tin cho biết một lỗi trên phần phụ trợ của trang web Cổng thông tin Visa Vương quốc Anh đã cho phép họ xem danh sách các tập tin chứa trong thùng.
TechCrunch xác nhận rằng Cổng thông tin Visa Vương quốc Anh (còn được gọi là UK Visit và ETA-Pass) là nguồn rò rỉ dữ liệu và xác minh tính xác thực của dữ liệu bị lộ bằng cách liên hệ với các cá nhân bị ảnh hưởng để hỏi xem thông tin của họ có chính xác hay không.
Nhiều bức ảnh do người dùng tải lên cũng chứa vị trí chính xác trong thế giới thực, tiết lộ nơi chụp ảnh; trong một số trường hợp, dữ liệu vị trí này đủ chính xác để hiển thị địa chỉ nhà của người chụp ảnh.
Cổng thông tin Visa Vương quốc Anh không cung cấp cách báo cáo các vấn đề bảo mật thông qua trang web của mình và trang web cũng không cung cấp tên hoặc thông tin liên hệ cho ban quản lý công ty.
TechCrunch đã gửi email đến địa chỉ email được liệt kê trên trang web của Cổng thông tin Visa Vương quốc Anh, cảnh báo họ rằng công ty đang có sai sót về bảo mật và hỏi xem chúng tôi có thể chia sẻ chi tiết với ai trong ban quản lý để giải quyết vấn đề.
TechCrunch giải thích rằng chúng tôi không thể chia sẻ thông tin cụ thể với hộp thư hỗ trợ khách hàng chung của công ty vì chúng tôi không thể đảm bảo rằng dữ liệu bị lộ sẽ không bị lạm dụng.
Người hỗ trợ khách hàng đã cung cấp cho TechCrunch tên và địa chỉ email của Michael Taylor, người mà chúng tôi được biết là người quản lý tại UK Vi. tại Cổng thông tin.
Người đó đã không trả lời câu hỏi của chúng tôi. Ngay sau đó, các luật sư của công ty luật BakerHostetler của Hoa Kỳ và đại diện của công ty quan hệ công chúng FTI Consulting đã liên hệ với TechCrunch để tìm kiếm thông tin về vấn đề này tại Cổng thông tin Visa Vương quốc Anh.
Khi được TechCrunch yêu cầu, các luật sư sẽ không cung cấp bằng chứng cho thấy họ được ủy quyền phát biểu thay mặt công ty, chẳng hạn như bằng cách cung cấp cho chúng tôi hồ sơ công khai xác nhận tên và vai trò của những cá nhân mà họ tuyên bố đại diện.
Chúng tôi lưu ý một lần nữa rằng chúng tôi không thể chia sẻ thông tin về lỗ hổng bảo mật ra bên ngoài ban quản lý của công ty.
Chúng tôi đã nói thêm rằng nếu Taylor hoặc người quản lý khác sẵn sàng chấp nhận thông tin về sai sót bảo mật, họ có thể liên hệ — hoặc luật sư có thể sao chép chúng trên chuỗi email. Chúng tôi không nhận được phản hồi.
Sau khi câu chuyện của chúng tôi được xuất bản và thùng được bảo mật, TechCrunch đã đưa ra cho các luật sư một loạt câu hỏi về sai sót bảo mật.
Các câu hỏi mà chúng tôi đã hỏi Ryan Christian, đối tác của BakerHostetler, bao gồm khoảng thời gian mà nhóm lưu trữ trên Amazon bị lộ, lý do bị lộ và liệu công ty có bất kỳ nhật ký nào để xác định xem có ai đã truy cập hoặc tải xuống dữ liệu bị lộ hay không.
Chúng tôi cũng hỏi ai Cổng thông tin Visa Vương quốc Anh chịu trách nhiệm về an ninh mạng, nếu có. Christian không trả lời.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.