一場荒謬的資料災難：假簽證平台害10萬人護照裸奔，營運商的反應更令人傻眼

• 護照的高解析度掃描圖檔
• 用於身份驗證的臉部自拍照
• 其他簽證申請相關的個人資訊

《TechCrunch》為了驗證外洩資料的真實性，主動聯繫了數名資料出現在外洩清單中的當事人，結果證實這些文件確實是他們當初申請簽證時所上傳的真實文件。這起事件的規模相當驚人，粗估至少有10萬份敏感文件就這樣長期處於無防護狀態。

「李鬼」還是「李逵」？揭開UK Visa Portal的真面目

許多受害者之所以會上當，很大一部分原因在於他們誤以為自己是在與英國官方打交道。事實上，UK Visa Portal不僅與英國政府毫無瓜葛，更不是什麼官方授權的合作夥伴。

根據調查，該網站的背後營運者是一家名為「Active Leadgen LLC」的公司，其註冊地點位於阿拉伯聯合大公國（UAE）。這個平台的主要業務，就是針對英國的電子旅行授權（Electronic Travel Authorisation，簡稱ETA）以及其他簽證類型，向使用者收取高額的「協助」或「代辦」費用。然而，這類申請手續其實相當簡便，申請者大可以直接前往英國政府的官方網站GOV.UK，用幾分鐘的時間，以更低的成本，甚至是完全免費自行完成申請。

更令人搖頭的是，作為一個處理大量極度敏感個資的商業平台，UK Visa Portal的網站上竟然連一個最基本的資安漏洞回報機制都找不到。這意味著，即使有白帽駭客或資安專家想好心提醒他們，也無從下手，這或許正是該漏洞能夠持續存在如此之久的原因之一。

一場「派律師比修漏洞快」的荒謬劇

整起事件最受爭議的關鍵點，莫過於這家公司在事發後的處理方式。《TechCrunch》的報導指出，當他們準備發布獨家新聞，並事先聯繫UK Visa Portal求證及給予警示時，對方的反應並非立刻拉起封鎖線進行損害控制，反而採取了令人難以苟同的策略。

報導指出，在《TechCrunch》將文章公諸於世之前，這個該修補的資安漏洞根本原封不動地躺在那裡。營運商Active Leadgen LLC沒有發布任何公開聲明，沒有設法通知可能受害的申請者，更沒有立即關閉暴露在外的伺服器。根據多家媒體追蹤報導證實，他們反倒是派出法律代表，試圖向《TechCrunch》施壓，打算阻止這篇至關重要的揭弊報導曝光。

那這個要命的漏洞到底是什麼時候才被補起來的呢？答案是：在《TechCrunch》的報導刊登出去之後的「幾個小時後」，營運方連夜才偷偷把資料庫的存取權限關閉。這個時間點的巧合，實在很難不讓外界聯想，這家公司究竟是為了保護客戶的隱私，還是單純想要讓這則對其商譽極具殺傷力的報導趕快下架。

對受害者的致命風險：你的護照可能正在暗網流竄

這起外洩事件對受害者的潛在危害，遠遠不止於隱私遭到侵犯而已。外流的資料組合極具殺傷力，因為它包含了高解析度護照掃描檔以及用於身份驗證的自拍照片。

不肖人士若取得這些資料，可以輕而易舉地進行：

• 身份盜竊：直接冒用受害者身份，在金融機構開設人頭帳戶、申請信用卡或貸款。
• 金融詐騙：利用護照資訊繞過部份安全驗證機制，進行非法交易。
• 社交工程攻擊：結合護照上的出生日期、簽發地等細節，以及自拍照（甚至可能包含GPS地理位置資訊），詐騙集團能夠更精準地偽裝成受害者，向其親友下手或騙取更多機密。

這起事件無疑為所有使用者敲響了警鐘。在數位時代，涉及金錢與身份證件的「代辦服務」充斥著各種陷阱。申請任何國家的官方文件時，務必認明唯一合法的官方管道（例如英國簽證唯一指定管道即為GOV.UK網站），切勿因為貪圖一時方便或誤信廣告話術，就把自己最重要的「第二生命」交到來路不明的第三方平台手中。