10万申请人护照在网上“裸奔”：一家假签证网站的数据泄露闹剧

TechCrunch通过联系那些个人信息被暴露在泄露记录中的人，核实了这次泄露事件的真实性，并确认相关文件确实与真实的申请相匹配 。此次事件的规模巨大：据信至少有10万份敏感文件处于高危状态 。

UK Visa Portal的背后是谁？

该网站是一个完全独立的商业服务机构，与英国内政部或官方政府网站GOV.UK没有任何关联 。据报道，其运营方是一家在阿拉伯联合酋长国注册的公司，名为Active Leadgen LLC 。该平台向用户收取费用，以“协助”他们申请英国的电子旅行授权（ETA）和其他移民相关手续——而这些程序，用户往往可以直接在GOV.UK上免费或以低得多的费用在几分钟内自行完成 。

更令人咋舌的是，作为一个处理如此敏感信息的平台，该网站竟缺乏一个最基本的功能：用于报告安全问题的正当联系渠道或漏洞反馈机制 。这一缺失很可能延长了数据暴露的时间，因为外界的研究人员或用户很难将问题告知他们。

公司的回应：法律威胁取代亡羊补牢

这起事件中最具争议的部分，是该公司在问题被发现后选择采取的行动——或者说，是不作为。当TechCrunch联系该公司发出警告并准备发表调查结果时，报道指出，直至发稿时UK Visa Portal仍未修复该安全漏洞 。

这家运营商并没有立刻保护暴露的服务器、发布公开声明或通知用户，而是走上了一条截然不同的道路。多份报告证实，Active Leadgen LLC派出了法律代表，企图威胁TechCrunch，阻止其发表相关报道 。具有讽刺意味的是，那个存储桶是在TechCrunch的报道上线隔夜后才被紧急保护起来的——不是在报道发布前，也不是在收到负责任的信息披露后 。

对受害者的影响与风险

这组被泄露的数据为身份盗窃和欺诈行为创造了极大风险。通过结合高分辨率的护照扫描件、验证自拍，甚至可能包含的GPS元数据，不法分子可以轻易地利用这些数据进行金融诈骗、开设账户或发起社会工程学攻击 。由于许多受害者根本未曾怀疑自己使用的并非政府官方服务，这次泄露对他们不啻为晴天霹雳。英国官方的签证申请渠道仍为GOV.UK，此次事件也敲响了警钟：当需要提供高度敏感的身份文件时，请务必仔细甄别那些收费的第三方服务。