Era solo un secchio.
Un bucket di archiviazione pubblico su Amazon. È lì che il Portale Visti del Regno Unito ha parcheggiato i passaporti e i selfie di migliaia di persone che pensavano di ricevere aiuto per l’immigrazione.
TechCrunch ha appreso che il sito esponeva almeno 100.00 documenti. Non metadati. I file veri e propri. Chiaro. Visibile. Disponibile per chiunque abbia il link giusto.
Ci ha dato la notizia una fonte anonima.
Hanno trovato un bug. Permetteva loro di vedere l’elenco.
Questo non è il governo del Regno Unito. Questo non è GOV.UK. Questa è una società privata che addebita commissioni per i servizi che puoi ottenere gratuitamente o tramite canali ufficiali. La gente li paga per errore. O in base alla progettazione. È difficile dire quando il sito non offre alcun modo per segnalare una violazione. Zero nomi nella pagina dei contatti. Solo una scatola nera.
“Abbiamo trattenuto i dettagli per ridurre al minimo il rischio.”
Abbiamo fatto il nostro lavoro. Abbiamo pubblicato che qualcosa non andava. Non abbiamo incollato gli URL. Volevamo forzare una soluzione, non facilitare la raccolta di dati.
Mercoledì sera il secchio era chiuso a chiave.
Seguì il silenzio della direzione.
Avvocati prima delle soluzioni
L’hanno patchato prima? Hanno avvisato i loro utenti?
No. Hanno chiamato BakerHostetler. Uno studio legale statunitense.
E Consulenza FTI. Un negozio di pubbliche relazioni.
Abbiamo provato a contattare la direzione. Il bot dell’assistenza clienti ci ha fornito un’e-mail per un certo Michael Taylor. Ha detto che era un manager. Non ha risposto.
Così sono intervenuti gli avvocati.
Ci hanno chiesto informazioni.
Abbiamo chiesto la prova che rappresentassero il Portale Visti del Regno Unito. Registro pubblico. Deposito in tribunale. Qualcosa.
Non lo hanno fornito.
Abbiamo detto bene. Copia il signor Taylor. Fagli rispondere.
Silenzio radiofonico.
Cosa è scomparso esattamente?
I dati erano archiviati in un server ospitato da Amazon. Tecnicamente non “elencava” i file agli occhi del pubblico, ma i collegamenti stessi funzionavano.
Passaporti. Selfie.
Alcune di quelle foto avevano i dati EXIF intatti. Coordinate della posizione.
Abbastanza preciso da rivelare in alcuni casi l’indirizzo di casa.
C’è da meravigliarsi che il furto d’identità sia in forte espansione?
Abbiamo verificato la perdita. Abbiamo contattato esseri umani reali che hanno inviato dati al sito. Hanno confermato che erano loro. I documenti erano reali. Il rischio era reale.
L’esposizione evidenzia una tendenza più ampia e più brutta.
Le aziende configurano in modo errato lo storage. Ancora e ancora.
I governi stanno spingendo le leggi sulla verifica dell’età. Maggiori controlli sull’identità. Altri documenti caricati su piattaforme traballanti. L’obiettivo diventa ogni giorno più grande.
Il portale visti per il Regno Unito (chiamato anche UK Visit o ETA-Pass ) afferma di essere gestito da Active Leadgen LLC, presumibilmente con sede negli Emirati Arabi Uniti. Non abbiamo potuto confermare quella parte. Sembra essere un’altra conchiglia.
Ancora nessuna responsabilità
Il partner di BakerHostetler Ryan Christian ha ricevuto un elenco di domande.
Per quanto tempo è stato esposto?
Perché è successo?
* Hai un registro di chi ha scaricato i dati?
* Chi è responsabile della sicurezza lì?
Non ha risposto.
Secondo la legge statunitense ed europea, è illegale ignorare le violazioni. Esistono requisiti di notifica.
Il portale visti del Regno Unito non ha informato nessuno.
I candidati devono sapere che questo non è obbligatorio. Non hai bisogno di una terza parte. Utilizza il sito web ufficiale del governo del Regno Unito. Risparmia la tariffa. Salva la tua faccia.
Abbiamo pubblicato il primo avviso il 26 maggio.
Il secchio adesso è chiuso.
Gli avvocati ci aspettano. I gestori ci stanno fantasmando.
E 100.000 persone? Stanno solo aspettando che qualcuno dica loro che dovrebbero controllare il monitoraggio del credito.
Se mai sentiranno.
