假英國簽證網站洩露10萬申請人護照同自拍照，補救方式竟然係出律師信？

TechCrunch為咗核實洩漏嘅真偽，曾經聯絡過幾個喺曝露資料入面搵到嘅當事人，確認咗呢啲文件同佢哋真實嘅申請紀錄吻合。洩漏規模極之巨大：估計至少有10萬份敏感文件任人魚肉。

邊個係幕後黑手？

呢個網站係一個完全獨立嘅商業服務，同英國內政部或者GOV.UK官方網站一啲關係都冇。據報佢係由一間喺阿聯酋（UAE）註冊、叫「Active Leadgen LLC」嘅公司營運。個平台會收費幫用戶申請英國電子旅行許可證（ETA）同其他移民相關手續——但係，呢啲程序好多時用家可以直接上GOV.UK自己搞掂，一係免費，一係使費平一大截。

呢個網站仲欠咗一樣處理呢類敏感資料嘅平台必需要有嘅嘢：一個正正經經嘅聯絡點，或者回報保安問題嘅Bug-Report機制。就係因為冇呢樣嘢，好可能令到啲數據曝露咗更加耐，研究員同用戶想舉報都搵唔到門路。

公司嘅「神回應」：出律師信兇人，多過補鑊

成件事最惹火嘅地方，係間公司喺問題曝光之後點樣做——或者應該話，點樣「唔做嘢」。當TechCrunch聯絡佢哋、準備刊登調查結果嗰陣，報導指出「UK Visa Portal」到出街嗰刻都未修復個保安漏洞。

平台營運商冇即時鎖返嗰個曝露咗嘅伺服器、冇公開交代、冇通知受影響嘅用戶，反而行咗條與別不同嘅路。有報導證實，Active Leadgen LLC派咗法律代表出嚟，似乎係想用法律途徑威脅TechCrunch，唔畀佢哋刊登單新聞。最諷刺嘅係，個出事嘅S3儲存庫要等到TechCrunch單新聞出咗街幾個鐘之後，先至「漏夜」鎖返——而唔係喺報導前鎖，亦唔係回應良心嘅漏洞通報。

對受害人嘅影響同風險

呢堆曝露咗嘅資料帶嚟嘅身份盜用同詐騙風險非常之高。高質素嘅護照掃描，加埋驗證用嘅自拍相，甚至有可能包含GPS定位 Metadata，不法分子一旦拎到，就可以用嚟進行金融詐騙、開設虛假戶口，或者發動社交工程攻擊（Social Engineering）。因為好多受害人根本冇諗過自己用緊嘅唔係政府服務，事件曝光嗰下真係打個突。其實英國簽證申請嘅官方渠道一直都係GOV.UK，呢次事件係一個好「血淋淋」嘅警示：但凡問你攞極敏感身份證明文件嘅第三方服務，真係要打醒十二分精神睇清楚。