Situs Visa Palsu Bikin 100.000 Paspor Terbuka Lebar, Lalu Kirim Pengacara, Bukan Perbaikan

TechCrunch berhasil memverifikasi keaslian kebocoran ini dengan menghubungi beberapa individu yang data pribadinya ditemukan di antara catatan yang terbuka, dan memastikan bahwa dokumen-dokumen itu cocok dengan aplikasi yang sebenarnya . Skala insiden ini sangat besar: setidaknya 100.000 dokumen sensitif diyakini rentan .

Siapa di Balik UK Visa Portal?

Situs web ini beroperasi sebagai layanan komersial yang sepenuhnya independen dan tidak memiliki afiliasi apa pun dengan Home Office (Kementerian Dalam Negeri Inggris) atau situs resmi pemerintah di GOV.UK .

Platform ini dilaporkan dioperasikan oleh Active Leadgen LLC, sebuah perusahaan yang terdaftar di Uni Emirat Arab (UEA) . Situs ini memungut biaya untuk membantu pengguna mengurus Electronic Travel Authorisation (ETA) Inggris dan aplikasi terkait imigrasi lainnya—proses yang sebenarnya sering kali dapat diselesaikan langsung oleh pengguna di GOV.UK secara gratis atau dengan biaya yang jauh lebih murah .

Situs ini juga tidak memiliki fitur krusial bagi platform apa pun yang menangani informasi sesensitif ini: titik kontak atau mekanisme pelaporan masalah keamanan (bug-reporting) yang layak . Ketiadaan ini kemungkinan memperpanjang waktu data tetap terekspos, karena tidak ada cara mudah bagi peneliti atau pengguna untuk melaporkan masalah.

Respons Perusahaan: Ancaman Hukum, Bukan Perbaikan

Aspek paling kontroversial dari insiden ini adalah bagaimana perusahaan memilih untuk bertindak—atau lebih tepatnya, tidak bertindak—setelah masalah ini terungkap. Saat TechCrunch menghubungi perusahaan untuk memberi tahu dan bersiap menerbitkan temuannya, laporan menunjukkan bahwa UK Visa Portal belum memperbaiki celah keamanan itu pada saat publikasi .

Alih-alih segera mengamankan server yang terbuka, mengeluarkan pernyataan publik, atau memberi tahu pengguna, operator mengambil langkah yang berbeda. Laporan mengonfirmasi bahwa Active Leadgen LLC mengirimkan kuasa hukum dalam upaya nyata untuk mengancam TechCrunch terkait publikasi berita ini . Server penyimpanan itu baru diamankan semalaman, beberapa jam setelah berita TechCrunch tayang—bukan sebelum publikasi, dan bukan sebagai tanggapan atas pengungkapan etis tersebut .

Implikasi dan Risiko bagi Korban

Kumpulan data yang terekspos ini menciptakan risiko serius pencurian identitas dan penipuan. Dengan menggabungkan pindaian paspor resolusi tinggi dengan swafoto verifikasi dan kemungkinan metadata GPS, pelaku kejahatan dapat menggunakan data tersebut untuk melakukan penipuan finansial, membuka rekening, atau melancarkan serangan rekayasa sosial (social engineering) .

Karena banyak korban tidak punya alasan kuat untuk menduga bahwa mereka menggunakan layanan non-pemerintah, kebocoran ini tentu mengejutkan. Kanal resmi pemerintah Inggris untuk aplikasi visa tetaplah GOV.UK, dan insiden ini menjadi pengingat keras untuk selalu memeriksa dengan saksama layanan pihak ketiga yang meminta dokumen identitas yang sangat sensitif.