Es war nur ein Eimer.
Ein öffentlicher Aufbewahrungseimer bei Amazon. Dort hat das UK Visa Portal die Pässe und Selfies von Tausenden von Menschen geparkt, die dachten, sie würden Hilfe bei der Einwanderung bekommen.
TechCrunch erfuhr, dass auf der Website mindestens 100.000 Dokumente offengelegt wurden. Keine Metadaten. Die eigentlichen Dateien. Klar. Sichtbar. Verfügbar für jeden mit dem richtigen Link.
Eine anonyme Quelle hat uns darauf aufmerksam gemacht.
Sie haben einen Fehler gefunden. Dadurch konnten sie die Liste sehen.
Das ist nicht die britische Regierung. Das ist nicht GOV.UK. Hierbei handelt es sich um ein privates Unternehmen, das Gebühren für Dienstleistungen erhebt, die Sie kostenlos oder über offizielle Kanäle in Anspruch nehmen können. Die Leute bezahlen sie aus Versehen. Oder absichtlich. Es ist schwer zu sagen, wann die Website überhaupt keine Möglichkeit bietet, einen Verstoß zu melden. Keine Namen auf der Kontaktseite. Nur eine Blackbox.
„Wir haben Einzelheiten zurückgehalten, um das Risiko zu minimieren.“
Wir haben unseren Job gemacht. Wir haben veröffentlicht, dass etwas nicht stimmte. Wir haben die URLs nicht eingefügt. Wir wollten eine Lösung erzwingen und keine Datenerfassung ermöglichen.
Am Mittwochabend war der Eimer verschlossen.
Es folgte Schweigen seitens des Managements.
Anwälte vor Reparaturen
Haben sie es zuerst gepatcht? Haben sie ihre Benutzer gewarnt?
Nein. Sie riefen BakerHostetler an. Eine US-amerikanische Anwaltskanzlei.
Und FTI Consulting. Ein PR-Shop.
Wir haben versucht, das Management zu erreichen. Der Kundensupport-Bot gab uns eine E-Mail für einen Michael Taylor. Er sagte, er sei ein Manager. Er antwortete nicht.
Also schalteten sich die Anwälte ein.
Sie haben uns um Informationen gebeten.
Wir haben um einen Nachweis gebeten, dass sie das UK Visa Portal vertreten. Öffentliche Aufzeichnung. Gerichtsakten. Etwas.
Sie haben es nicht bereitgestellt.
Wir sagten gut. Kopieren Sie Mr. Taylor. Lassen Sie ihn antworten.
Funkstille.
Was genau ist verschwunden?
Die Daten befanden sich auf einem von Amazon gehosteten Server. Technisch gesehen werden die Dateien nicht der Öffentlichkeit „aufgelistet“, aber die Links selbst haben funktioniert.
Pässe. Selfies.
Bei einigen dieser Fotos waren die EXIF-Daten intakt. Standortkoordinaten.
Präzise genug, um in manchen Fällen die Privatadresse preiszugeben.
Ist es ein Wunder, dass Identitätsdiebstahl boomt?
Wir haben das Leck überprüft. Wir haben tatsächlich Menschen kontaktiert, die Daten an die Website übermittelt haben. Sie bestätigten, dass sie es waren. Die Dokumente waren echt. Das Risiko war real.
Die Enthüllung verdeutlicht einen umfassenderen, hässlicheren Trend.
Unternehmen konfigurieren Speicher falsch. Immer wieder.
Regierungen drängen auf Gesetze zur Altersüberprüfung. Weitere Identitätskontrollen. Weitere Dokumente wurden auf wackeligen Plattformen hochgeladen. Das Ziel wird jeden Tag größer.
Das UK Visa Portal (auch UK Visit oder ETA-Pass genannt) wird angeblich von Active Leadgen LLC betrieben, angeblich mit Sitz in den Vereinigten Arabischen Emiraten. Wir konnten diesen Teil nicht bestätigen. Es scheint eine andere Hülle zu sein.
Immer noch keine Verantwortung
BakerHostetler-Partner Ryan Christian hat eine Liste mit Fragen erhalten.
- Wie lange war es ausgesetzt?
- Warum ist es passiert?
- Verfügen Sie über Protokolle darüber, wer die Daten heruntergeladen hat?
- Wer ist dort für die Sicherheit zuständig?
Er antwortete nicht.
Nach US-amerikanischem und europäischem Recht ist es illegal, Verstöße zu ignorieren. Es bestehen Meldepflichten.
Das UK Visa Portal hat niemanden benachrichtigt.
Bewerber müssen wissen, dass dies nicht obligatorisch ist. Sie benötigen keinen Dritten. Nutzen Sie die offizielle Website der britischen Regierung. Sparen Sie die Gebühr. Wahre dein Gesicht.
Die erste Warnung haben wir am 26. Mai veröffentlicht.
Der Eimer ist jetzt geschlossen.
Die Anwälte warten auf uns. Die Manager belästigen uns.
Und 100.000 Leute? Sie warten nur darauf, dass ihnen jemand sagt, sie sollten ihre Kreditüberwachung überprüfen.
Wenn sie es jemals hören.
