Era sólo un balde.
Un depósito de almacenamiento público en Amazon. Ahí es donde el Portal de Visas del Reino Unido aparcó los pasaportes y las selfies de miles de personas que pensaban que estaban recibiendo ayuda de inmigración.
TechCrunch descubrió que el sitio estaba exponiendo al menos 100.000 documentos. No metadatos. Los archivos reales. Claro. Visible. Disponible para cualquier persona con el enlace correcto.
Una fuente anónima nos avisó.
Encontraron un error. Les permitió ver la lista.
Este no es el gobierno del Reino Unido. Esto no es GOV.UK. Esta es una empresa privada que cobra tarifas por servicios que puede obtener usted mismo de forma gratuita o a través de canales oficiales. La gente les paga por error. O por diseño. Es difícil saber cuándo el sitio no ofrece ninguna forma de informar una infracción. Cero nombres en la página de contacto. Sólo una caja negra.
“Ocultamos detalles específicos para minimizar el riesgo”.
Hicimos nuestro trabajo. Publicamos que algo andaba mal. No pegamos las URL. Queríamos forzar una solución, no facilitar la recopilación de datos.
El miércoles por la noche, el cubo estaba cerrado.
Siguió el silencio de la dirección.
Abogados antes de arreglos
¿Lo parchearon primero? ¿Advirtieron a sus usuarios?
No. Llamaron a BakerHostetler. Una firma de abogados estadounidense.
Y Consultoría FTI. Una tienda de relaciones públicas.
Intentamos comunicarnos con la gerencia. El robot de atención al cliente nos dio un correo electrónico de Michael Taylor. Dijo que era gerente. Él no respondió.
Entonces intervinieron los abogados.
Nos pidieron información.
Pedimos pruebas de que representaban al Portal de Visas del Reino Unido. Registro público. Presentación judicial. Algo.
No lo proporcionaron.
Dijimos bien. Copia al Sr. Taylor. Haga que responda.
Silencio de radio.
¿Qué es exactamente lo que se perdió?
Los datos estaban almacenados en un servidor alojado en Amazon. Técnicamente no se “enumeran” archivos al público, pero los enlaces en sí funcionaron.
Pasaportes. Autofotos.
Algunas de esas fotos tenían datos EXIF intactos. Coordenadas de ubicación.
Lo suficientemente preciso como para revelar la dirección de una casa en algunos casos.
¿Es de extrañar que el robo de identidad esté en auge?
Verificamos la fuga. Nos comunicamos con humanos reales que enviaron datos al sitio. Confirmaron que eran ellos. Los documentos eran reales. El riesgo era real.
La exposición pone de relieve una tendencia más amplia y más fea.
Las empresas están configurando mal el almacenamiento. Una y otra vez.
Los gobiernos están impulsando leyes de verificación de edad. Más controles de identidad. Más documentos subidos a plataformas inestables. El objetivo es cada día más grande.
El portal de visas del Reino Unido (también llamado UK Visit o ETA-Pass ) afirma estar administrado por Active Leadgen LLC, supuestamente con sede en los Emiratos Árabes Unidos. No pudimos confirmar esa parte. Parece ser otro caparazón.
Aún no hay responsabilidad
El socio de BakerHostetler, Ryan Christian, recibió una lista de preguntas.
- ¿Cuánto tiempo estuvo expuesto?
- ¿Por qué sucedió?
- ¿Tiene registros de quién descargó los datos?
- ¿Quién está a cargo de la seguridad allí?
Él no respondió.
Es ilegal según las leyes estadounidenses y europeas ignorar las infracciones. Existen requisitos de notificación.
UK Visa Portal no ha notificado a nadie.
Los solicitantes deben saber que esto no es obligatorio. No necesitas un tercero. Utilice el sitio web oficial del gobierno del Reino Unido. Ahorre la tarifa. Salva tu cara.
Publicamos la primera advertencia el 26 de mayo.
El cubo está cerrado ahora.
Los abogados nos están esperando. Los gerentes nos están engañando.
¿Y 100.000 personas? Simplemente están esperando que alguien les diga que deben verificar su seguimiento crediticio.
Si alguna vez lo escuchan.
