Itu hanya sebuah ember.
Ember penyimpanan publik di Amazon. Di situlah Portal Visa Inggris memarkir paspor dan selfie ribuan orang yang mengira mereka mendapatkan bantuan imigrasi.
TechCrunch mengetahui bahwa situs tersebut mengekspos setidaknya 100,00 dokumen. Bukan metadata. File sebenarnya. Jernih. Bisa dilihat. Tersedia bagi siapa saja yang memiliki tautan yang tepat.
Sumber anonim memberi tahu kami.
Mereka menemukan bug. Ini memungkinkan mereka melihat daftarnya.
Ini bukan pemerintah Inggris. Ini bukan GOV.UK. Ini adalah perusahaan swasta yang memungut biaya untuk layanan yang bisa Anda dapatkan sendiri secara gratis atau melalui jalur resmi. Orang-orang membayarnya secara tidak sengaja. Atau berdasarkan desain. Sulit untuk mengetahui kapan situs tersebut tidak menawarkan cara untuk melaporkan pelanggaran. Tidak ada nama di halaman kontak. Hanya kotak hitam.
“Kami menyembunyikan hal spesifik untuk meminimalkan risiko.”
Kami melakukan pekerjaan kami. Kami mempublikasikan bahwa ada sesuatu yang salah. Kami tidak menempelkan URL-nya. Kami ingin memaksakan perbaikan, bukan memfasilitasi pengumpulan data.
Pada Rabu malam, ember itu terkunci.
Keheningan dari manajemen menyusul.
Pengacara sebelum perbaikan
Apakah mereka menambalnya terlebih dahulu? Apakah mereka memperingatkan penggunanya?
Tidak. Mereka menelepon BakerHostetler. Sebuah firma hukum Amerika.
Dan Konsultasi FTI. Toko PR.
Kami mencoba menghubungi manajemen. Bot dukungan pelanggan memberi kami email untuk Michael Taylor. Katanya dia adalah seorang manajer. Dia tidak menjawab.
Jadi para pengacara turun tangan.
Mereka meminta informasi kepada kami.
Kami meminta bukti bahwa mereka mewakili Portal Visa Inggris. Catatan publik. Pengajuan pengadilan. Sesuatu.
Mereka tidak menyediakannya.
Kami bilang baik-baik saja. Salin Tuan Taylor. Minta dia membalas.
Keheningan radio.
Apa sebenarnya yang hilang?
Data disimpan di server yang dihosting Amazon. Secara teknis tidak “mencantumkan” file ke publik, tetapi tautannya sendiri berfungsi.
Paspor. Selfie.
Beberapa foto tersebut memiliki data EXIF yang utuh. Koordinat lokasi.
Cukup tepat untuk mengungkapkan alamat rumah dalam beberapa kasus.
Apakah mengherankan jika pencurian identitas sedang booming?
Kami memverifikasi kebocorannya. Kami menghubungi orang sebenarnya yang mengirimkan data ke situs. Mereka memastikan itu adalah mereka. Dokumen-dokumen itu nyata. Resikonya nyata.
Paparan ini menyoroti tren yang lebih luas dan lebih buruk.
Perusahaan salah mengonfigurasi penyimpanan. Lagi dan lagi.
Pemerintah mendorong undang-undang verifikasi usia. Lebih banyak pemeriksaan identitas. Lebih banyak dokumen diunggah ke platform yang goyah. Targetnya semakin besar setiap hari.
Portal Visa Inggris (juga disebut UK Visit atau ETA-Pass ) mengklaim dijalankan oleh Active Leadgen LLC, yang diduga berbasis di U.A.E. Kami tidak dapat memastikan bagian itu. Tampaknya itu adalah cangkang lain.
Masih belum ada akuntabilitas
Mitra BakerHostetler, Ryan Christian, mendapat daftar pertanyaan.
- Berapa lama paparannya?
*Mengapa hal itu terjadi? - Apakah Anda memiliki log siapa yang mengunduh data?
- Siapa yang bertanggung jawab atas keamanan di sana?
Dia tidak menjawab.
Mengabaikan pelanggaran merupakan tindakan ilegal menurut hukum AS dan Eropa. Persyaratan pemberitahuan ada.
Portal Visa Inggris belum memberi tahu siapa pun.
Pelamar perlu mengetahui bahwa ini tidak wajib. Anda tidak membutuhkan pihak ketiga. Gunakan situs web resmi pemerintah Inggris. Hemat biayanya. Selamatkan wajahmu.
Kami menerbitkan peringatan pertama pada tanggal 26 Mei.
Embernya sudah ditutup sekarang.
Pengacara sedang menunggu kita. Para manajer membuat kita takut.
Dan 100,00 orang? Mereka hanya menunggu seseorang memberi tahu mereka bahwa mereka harus memeriksa pemantauan kredit mereka.
Jika mereka pernah mendengarnya.
