Trang web visa Anh giả mạo để lộ 100.000 hộ chiếu và ảnh selfie trực tuyến, sau đó đe dọa kiện phóng viên

TechCrunch đã xác minh tính xác thực của vụ rò rỉ bằng cách liên hệ với một số cá nhân có dữ liệu trong số hồ sơ bị lộ, xác nhận các tài liệu này khớp với đơn xin visa thực tế . Quy mô của sự cố là rất lớn: ít nhất 100.000 tài liệu nhạy cảm được cho là đã bị ảnh hưởng .

Ai đứng sau UK Visa Portal?

Trang web hoạt động như một dịch vụ thương mại hoàn toàn độc lập, không có liên kết với Bộ Nội vụ Anh hay GOV.UK . Nó được cho là điều hành bởi Active Leadgen LLC, một công ty đăng ký tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) . Nền tảng này thu phí để "hỗ trợ" người dùng làm Giấy phép Du lịch Điện tử (ETA) của Anh và các đơn xin liên quan đến nhập cư—những thủ tục mà người dùng thường có thể tự hoàn tất ngay trên GOV.UK một cách miễn phí hoặc với chi phí thấp hơn nhiều .

Trang web còn thiếu một tính năng thiết yếu của bất kỳ nền tảng nào xử lý thông tin nhạy cảm như vậy: một đầu mối liên hệ hoặc cơ chế báo cáo lỗi phù hợp cho các vấn đề bảo mật . Sự vắng mặt này có lẽ đã kéo dài thời gian dữ liệu bị phơi bày, vì không có cách nào dễ dàng để các nhà nghiên cứu hay người dùng cảnh báo vấn đề.

Phản ứng đáng kinh ngạc: Đe dọa pháp lý thay vì khắc phục

Khía cạnh gây tranh cãi nhất của sự việc là cách công ty đã hành động—hay đúng hơn, đã không hành động—khi vấn đề bị phát hiện. Khi TechCrunch liên hệ để cảnh báo và chuẩn bị công bố phát hiện của mình, báo cáo chỉ ra rằng UK Visa Portal vẫn chưa khắc phục lỗ hổng bảo mật vào thời điểm bài báo được đăng .

Thay vì ngay lập tức bảo mật các máy chủ bị lộ và đưa ra tuyên bố công khai hoặc thông báo cho người dùng, bên vận hành đã chọn một con đường khác. Các báo cáo xác nhận rằng Active Leadgen LLC đã cử đại diện pháp lý trong một nỗ lực rõ ràng nhằm đe dọa TechCrunch về việc công bố câu chuyện . Dữ liệu chỉ được bảo mật vào đêm muộn, vài giờ sau khi bài báo của TechCrunch được đăng tải—chứ không phải trước khi xuất bản, và cũng không phải để đáp lại việc tiết lộ có đạo đức .

Hệ lụy và rủi ro cho nạn nhân

Bộ dữ liệu bị lộ tạo ra nguy cơ cực kỳ nghiêm trọng về đánh cắp danh tính và gian lận. Bằng cách kết hợp bản scan hộ chiếu độ phân giải cao với ảnh selfie xác minh và có thể cả siêu dữ liệu GPS, kẻ xấu có thể lợi dụng để thực hiện gian lận tài chính, mở tài khoản, hoặc tiến hành các cuộc tấn công phi kỹ thuật (social engineering) . Vì nhiều nạn nhân không có lý do gì để nghi ngờ họ đang dùng dịch vụ phi chính phủ, sự phơi bày này đến như một cú sốc. Kênh chính thức của chính phủ Anh cho các đơn xin thị thực vẫn là GOV.UK, và sự cố này là một lời nhắc nhở nghiêm khắc để mọi người thận trọng xem xét kỹ lưỡng các dịch vụ bên thứ ba yêu cầu giấy tờ tùy thân có độ nhạy cảm cao.