Datenleck bei Fake-UK-Visaseite: 100.000 Pässe ungeschützt – Betreiber schickt Anwälte

Die Authentizität des massiven Lecks konnte von TechCrunch verifiziert werden, indem das Medium mehrere Personen kontaktierte, deren Daten im offenen Datensatz gefunden wurden. Sie bestätigten, dass die Dokumente ihren echten Anträgen entsprachen . Das Ausmaß war immens: Es wird von mindestens 100.000 gefährdeten sensiblen Dokumenten ausgegangen .

Wer steckte hinter UK Visa Portal?

Die Website agierte als gänzlich unabhängiger kommerzieller Dienst und stand in keinerlei Verbindung zum britischen Innenministerium (Home Office) oder der offiziellen Regierungsseite GOV.UK . Betrieben wurde sie Berichten zufolge von Active Leadgen LLC, einem in den Vereinigten Arabischen Emiraten registrierten Unternehmen . Die Plattform verlangte Gebühren für die Unterstützung bei sogenannten Electronic Travel Authorisations (ETAs), also elektronischen Reisegenehmigungen für das Vereinigte Königreich, sowie anderen Visumsanträgen – Vorgänge, die Nutzer auf GOV.UK oft kostenlos oder wesentlich günstiger direkt selbst erledigen können .

Erschwerend kam hinzu, dass der Website ein essenzielles Merkmal jeder Plattform fehlte, die mit solch brisanten Daten umgeht: eine ordentliche Kontaktmöglichkeit oder ein Meldeverfahren für Sicherheitslücken, wie es etwa bei "Responsible Disclosure"-Programmen üblich ist . Dieses Fehlen einer Möglichkeit zur Meldung dürfte die Zeitspanne, in der die Daten ungeschützt waren, noch verlängert haben, denn Sicherheitsforscher oder betroffene Nutzer hatten keine einfache Chance, das Problem zu melden.

Die Reaktion des Unternehmens: Juristische Drohungen statt Gefahrenabwehr

Der wohl kontroverseste Aspekt dieses Vorfalls war das Verhalten des Betreibers, nachdem das Problem ans Licht kam. Laut Recherchen von TechCrunch hatte UK Visa Portal die Sicherheitslücke zum Zeitpunkt der Kontaktaufnahme und sogar noch bei Veröffentlichung des ersten Berichts nicht behoben .

Statt die offenen Server sofort zu sichern und eine öffentliche Bekanntmachung oder Benachrichtigung der Nutzer herauszugeben, schlug der Betreiber einen völlig anderen Weg ein. Berichte bestätigen, dass Active Leadgen LLC Vertreter der Rechtsabteilung losschickte, offenbar mit dem Ziel, TechCrunch juristisch von der Publikation der Story abzuhalten . Der betroffene Cloud-Speicher wurde erst über Nacht, Stunden nachdem TechCrunchs Artikel online ging, gesichert – nicht vor der Veröffentlichung und auch nicht als Reaktion auf die verantwortungsvolle Offenlegung der Schwachstelle .

Implikationen und Risiken für die Betroffenen

Der ungeschützte Datensatz birgt ein hohes Risiko für Identitätsdiebstahl und diverses Arten von Betrug. Durch die Kombination von hochauflösenden Pass-Scans mit Verifikations-Selfies und potenziell enthaltenen GPS-Metadaten könnten Kriminelle die Daten theoretisch für Finanzbetrug, zur Kontoeröffnung oder für ausgeklügelte Social-Engineering-Angriffe nutzen .

Für viele Geschädigte kam die Nachricht über die Offenlegung ihrer Daten einem Schock gleich, denn sie hatten kaum Anlass zu vermuten, keinen offiziellen Regierungsservice zu nutzen. Der offizielle Kanal der britischen Regierung für Visumsanträge bleibt GOV.UK, und dieser Vorfall ist eine eindringliche Warnung, Drittanbieterdienste, die höchst sensible Ausweisdokumente verlangen, stets kritisch zu hinterfragen – auch wenn deren Webauftritt täuschend echt wirken mag.