C’était juste un seau.
Un compartiment de stockage public sur Amazon. C’est là que le portail des visas britanniques a stocké les passeports et les selfies de milliers de personnes qui pensaient bénéficier d’une aide à l’immigration.
TechCrunch a appris que le site exposait au moins 100 000 documents. Pas de métadonnées. Les fichiers réels. Clair. Visible. Disponible pour toute personne disposant du bon lien.
Une source anonyme nous a prévenus.
Ils ont trouvé un bug. Cela leur a permis de voir la liste.
Ce n’est pas le gouvernement britannique. Ce n’est pas GOV.UK. Il s’agit d’une entreprise privée qui prélève des frais pour des services que vous pouvez obtenir vous-même gratuitement ou via les canaux officiels. Les gens les paient par erreur. Ou par conception. Il est difficile de dire quand le site n’offre aucun moyen de signaler une violation. Zéro nom sur la page de contact. Juste une boîte noire.
« Nous avons caché des détails pour minimiser les risques. »
Nous avons fait notre travail. Nous avons publié que quelque chose n’allait pas. Nous n’avons pas collé les URL. Nous voulions forcer une solution, pas faciliter la collecte de données.
Mercredi soir, le seau était verrouillé.
Le silence de la direction a suivi.
Avocats avant les correctifs
L’ont-ils patché en premier ? Ont-ils prévenu leurs utilisateurs ?
Non. Ils ont appelé BakerHostetler. Un cabinet d’avocats américain.
Et FTI Consulting. Une boutique de relations publiques.
Nous avons essayé de joindre la direction. Le robot du support client nous a donné un e-mail pour un Michael Taylor. Il a dit qu’il était manager. Il n’a pas répondu.
Les avocats sont alors intervenus.
Ils nous ont demandé des informations.
Nous avons demandé une preuve qu’ils représentaient le UK Visa Portal. Dossier public. Dépôt au tribunal. Quelque chose.
Ils ne l’ont pas fourni.
Nous avons dit bien. Copiez M. Taylor. Demandez-lui de répondre.
Silence radio.
Qu’est-ce qui a disparu exactement ?
Les données se trouvaient sur un serveur hébergé par Amazon. Techniquement, il ne s’agissait pas de « répertorier » les fichiers aux yeux du public, mais les liens eux-mêmes fonctionnaient.
Passeports. Des selfies.
Certaines de ces photos contenaient des données EXIF intactes. Coordonnées de localisation.
Assez précis pour révéler une adresse personnelle dans certains cas.
Faut-il s’étonner que le vol d’identité soit en plein essor ?
Nous avons vérifié la fuite. Nous avons contacté de véritables personnes qui ont soumis des données au site. Ils ont confirmé que c’était eux. Les documents étaient réels. Le risque était réel.
L’exposition met en évidence une tendance plus large et plus laide.
Les entreprises configurent mal le stockage. Encore et encore.
Les gouvernements poussent les lois sur la vérification de l’âge. Plus de contrôles d’identité. Plus de documents téléchargés sur des plateformes fragiles. L’objectif s’agrandit chaque jour.
UK Visa Portal (également appelé UK Visit ou ETA-Pass ) prétend être géré par Active Leadgen LLC, prétendument basée aux Émirats arabes unis. Nous n’avons pas pu confirmer cette partie. Il semble que ce soit une autre coquille.
Toujours aucune responsabilité
Ryan Christian, partenaire de BakerHostetler, a reçu une liste de questions.
- Combien de temps a-t-il été exposé ?
*Pourquoi est-ce arrivé ? - Avez-vous des journaux indiquant qui a téléchargé les données ?
- Qui est en charge de la sécurité là-bas ?
Il n’a pas répondu.
Il est illégal en vertu du droit américain et européen d’ignorer les violations. Des exigences de notification existent.
Le portail des visas britanniques n’a informé personne.
Les candidats doivent savoir que ce n’est pas obligatoire. Vous n’avez pas besoin d’un tiers. Utilisez le site Web officiel du gouvernement britannique. Économisez les frais. Sauvez votre visage.
Nous avons publié le premier avertissement le 26 mai.
Le seau est maintenant fermé.
Les avocats nous attendent. Les managers nous fantômes.
Et 100 000 personnes ? Ils attendent simplement que quelqu’un leur dise qu’ils devraient vérifier leur surveillance du crédit.
Si jamais ils entendent.
