เว็บไซต์วีซ่าปลอมเผยข้อมูลหนังสือเดินทางและเซลฟี่กว่า 100,000 รายการก่อนส่งทนายข่มขู่ TechCrunch

โดยปกติแล้วข้อมูลที่เก็บไว้ในระบบคลาวด์จะต้องมีการตั้งค่าการเข้าถึงที่เข้มงวด แต่สำหรับเว็บไซต์นี้ นักวิจัยความปลอดภัยนิรนามได้ค้นพบว่า จุดบกพร่องของระบบหลังบ้านทำให้ไดเรกทอรีไฟล์ที่สมบูรณ์สามารถถูกเรียกดูได้อย่างอิสระ นั่นหมายความว่ารายชื่อของเอกสารทั้งหมดถูกเปิดเผยสู่สาธารณะ โดยไม่ต้องใช้รหัสผ่านหรือการยืนยันตัวตนใดๆ ในการเข้าถึงไฟล์ ซึ่งรวมถึงภาพสแกนพาสปอร์ต ภาพเซลฟี่เพื่อยืนยันตัวตน และข้อมูลอื่นๆ ในใบสมัคร

เพื่อยืนยันความถูกต้องของรายงาน TechCrunch ได้ติดต่อผู้ที่ข้อมูลส่วนตัวปรากฏอยู่ในเอกสารที่รั่วไหลหลายราย และพวกเขาก็ยืนยันว่าข้อมูลดังกล่าวตรงกับใบสมัครจริงของพวกเขา

ความเสียหายครั้งนี้มีขนาดมหาศาล โดยประเมินว่ามีเอกสารอ่อนไหวอย่างน้อย 100,000 ชิ้นที่ตกอยู่ในความเสี่ยง

ใครคือผู้อยู่เบื้องหลัง UK Visa Portal?

เว็บไซต์ UK Visa Portal ดำเนินงานในรูปแบบบริการพาณิชย์ที่เป็นอิสระอย่างสมบูรณ์ โดยไม่มีส่วนเกี่ยวข้องกับ Home Office หรือ GOV.UK แต่อย่างใด

รายงานระบุว่าเว็บไซต์นี้ดำเนินการโดยบริษัท Active Leadgen LLC ซึ่งจดทะเบียนในสหรัฐอาหรับเอมิเรตส์ แพลตฟอร์มนี้เรียกเก็บค่าธรรมเนียมเพื่อ "ช่วยเหลือ" ผู้ใช้ในการยื่นขอ Electronic Travel Authorisations (ETAs) หรือการอนุญาตเดินทางทางอิเล็กทรอนิกส์ และใบสมัครที่เกี่ยวข้องกับการเข้าเมืองอื่นๆ ซึ่งในความเป็นจริงแล้วเป็นกระบวนการที่ผู้ใช้สามารถจัดการด้วยตนเองบนเว็บไซต์ GOV.UK ได้โดยตรงโดยไม่เสียค่าใช้จ่ายหรือมีค่าใช้จ่ายเพียงเล็กน้อย

นอกจากนี้ เว็บไซต์ดังกล่าวยังขาดคุณสมบัติที่จำเป็นอย่างยิ่งสำหรับแพลตฟอร์มที่จัดการข้อมูลละเอียดอ่อนเช่นนี้ นั่นคือ ช่องทางติดต่อหรือกลไกในการรายงานปัญหาด้านความปลอดภัย การไม่มีช่องทางนี้ยิ่งทำให้ข้อมูลถูกปล่อยทิ้งไว้กลางสาธารณะนานขึ้น เพราะเหล่าผู้เชี่ยวชาญหรือผู้ใช้งานเองก็ไม่มีทางแจ้งเบาะแสได้โดยง่าย

การตอบสนองของบริษัท: การข่มขู่ทางกฎหมาย แทนการเยียวยา

ประเด็นที่ถูกวิพากษ์วิจารณ์มากที่สุดในเหตุการณ์นี้คือ วิธีการที่บริษัทเลือกที่จะตอบสนอง หรือควรจะเรียกว่า 'ไม่ตอบสนอง' ต่อปัญหาที่เกิดขึ้น

เมื่อ TechCrunch ติดต่อไปเพื่อแจ้งเตือนบริษัทและเตรียมเผยแพร่ข้อมูล รายงานระบุว่า UK Visa Portal ยังไม่ได้แก้ไขช่องโหว่ด้านความปลอดภัยในขณะนั้น แทนที่จะรีบปกป้องเซิร์ฟเวอร์, ออกแถลงการณ์ต่อสาธารณะ หรือแจ้งเตือนผู้ใช้งาน บริษัทกลับเลือกเส้นทางที่ต่างออกไป

มีรายงานยืนยันว่า Active Leadgen LLC ได้ส่งตัวแทนทางกฎหมายเพื่อข่มขู่ TechCrunch ในความพยายามที่จะสกัดกั้นการเผยแพร่ข่าวนี้ และข้อมูลที่ถูกเปิดเผยนั้น เพิ่งจะถูกปิดกั้นหลังจากที่เรื่องราวของ TechCrunch ได้รับการเผยแพร่ออกไปแล้วเท่านั้น ไม่ใช่ก่อนที่จะมีการเผยแพร่ และไม่ใช่เพื่อตอบสนองต่อการแจ้งเตือนอย่างมีจริยธรรม

ผลกระทบและความเสี่ยงต่อผู้เสียหาย

ข้อมูลชุดที่ถูกเปิดเผยนี้ก่อให้เกิดความเสี่ยงร้ายแรงต่อการโจรกรรมข้อมูลประจำตัวและการฉ้อโกงทางการเงิน เพราะเมื่อผู้ไม่หวังดีเข้าถึงข้อมูลภาพสแกนหนังสือเดินทางความละเอียดสูง, ภาพเซลฟี่เพื่อการยืนยันตัว และอาจรวมถึงข้อมูล Metadata ตำแหน่ง GPS (ข้อมูลพิกัดทางภูมิศาสตร์) ได้แล้ว พวกเขาสามารถนำข้อมูลเหล่านี้ไปใช้ในการฉ้อโกง การเปิดบัญชี หรือการโจมตีทางวิศวกรรมสังคม (Social Engineering) ได้ไม่ยาก

สิ่งที่ซ้ำเติมความร้ายแรงคือ ผู้เสียหายส่วนใหญ่ไม่มีเหตุผลให้สงสัยว่าพวกเขากำลังใช้บริการที่ไม่ใช่ของรัฐบาล ทำให้พวกเขาต่างตกใจกับข่าวที่เกิดขึ้น ช่องทางที่ถูกต้องตามกฎหมายและเป็นทางการเพียงช่องทางเดียวในการยื่นขอวีซ่าสหราชอาณาจักรคือ GOV.UK

เหตุการณ์ในครั้งนี้จึงเป็นเหมือนเสียงระฆังเตือนภัยครั้งสำคัญสำหรับทุกคน ถึงความจำเป็นในการตรวจสอบบริการของบุคคลที่สามที่ขอเข้าถึงข้อมูลส่วนตัวที่มีความอ่อนไหวสูง และตอกย้ำว่าควรจัดการธุระสำคัญกับหน่วยงานรัฐโดยตรงบนเว็บไซต์ที่มีโดเมนลงท้ายด้วย .gov.uk เท่านั้น เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของบริการที่แอบอ้างและไร้ความรับผิดชอบเช่นนี้