Het was maar een emmer.
Een openbare opslagbucket op Amazon. Dat is waar UK Visa Portal de paspoorten en selfies parkeerde van duizenden mensen die dachten dat ze immigratiehulp kregen.
TechCrunch ontdekte dat de site ten minste 100.00 documenten openbaar maakte. Niet metagegevens. De daadwerkelijke bestanden. Duidelijk. Zichtbaar. Beschikbaar voor iedereen met de juiste link.
Een anonieme bron tipte ons.
Ze hebben een bug gevonden. Het liet hen de lijst zien.
Dit is niet de Britse regering. Dit is niet GOV.UK. Dit is een particulier bedrijf dat vergoedingen in rekening brengt voor diensten die u zelf gratis of via officiële kanalen kunt verkrijgen. Mensen betalen ze per ongeluk. Of door ontwerp. Het is moeilijk te zeggen wanneer de site geen mogelijkheid biedt om een inbreuk te melden. Nul namen op de contactpagina. Gewoon een zwarte doos.
“We hebben details achtergehouden om het risico te minimaliseren.”
Wij hebben ons werk gedaan. We publiceerden dat er iets mis was. We hebben de URL’s niet geplakt. We wilden een oplossing forceren, niet het verzamelen van gegevens.
Woensdagavond zat de emmer op slot.
Er volgde een stilte van het management.
Advocaten vóór oplossingen
Hebben ze het eerst gepatcht? Hebben ze hun gebruikers gewaarschuwd?
Nee. Ze hebben BakerHostetler gebeld. Een Amerikaans advocatenkantoor.
En FTI Consulting. Een PR-winkel.
We hebben geprobeerd het management te bereiken. De klantenondersteuningsbot gaf ons een e-mail voor ene Michael Taylor. Hij zei dat hij een manager was. Hij antwoordde niet.
Dus kwamen de advocaten tussenbeide.
Ze vroegen ons om informatie.
We vroegen om bewijs dat zij UK Visa Portal vertegenwoordigden. Openbaar record. Aangifte bij de rechtbank. Iets.
Ze hebben het niet verstrekt.
Wij zeiden prima. Kopieer meneer Taylor. Laat hem antwoorden.
Radiostilte.
Wat is er precies verdwenen?
De gegevens stonden op een door Amazon gehoste server. Technisch gezien niet het “vermelden” van bestanden voor het publiek, maar de links zelf werkten.
Paspoorten. Selfies.
Bij sommige van die foto’s waren de EXIF-gegevens intact. Locatie coördinaten.
Nauwkeurig genoeg om in sommige gevallen een thuisadres te onthullen.
Is het een wonder dat identiteitsdiefstal steeds vaker voorkomt?
Wij hebben het lek geverifieerd. We hebben contact opgenomen met echte mensen die gegevens naar de site hebben verzonden. Ze bevestigden dat zij het waren. De documenten waren echt. Het risico was reëel.
De blootstelling benadrukt een bredere, lelijkere trend.
Bedrijven configureren opslag verkeerd. Opnieuw en opnieuw.
Overheden dringen aan op wetten voor leeftijdsverificatie. Meer identiteitscontroles. Meer documenten geüpload naar wankele platforms. Het doel wordt elke dag groter.
UK Visa Portal (ook wel UK Visit of ETA-Pass genoemd) beweert te worden beheerd door Active Leadgen LLC, naar verluidt gevestigd in de V.A.E. We konden dat deel niet bevestigen. Het lijkt een andere schil te zijn.
Nog steeds geen verantwoordelijkheid
BakerHostetler-partner Ryan Christian kreeg een lijst met vragen.
- Hoe lang werd het blootgesteld?
- Waarom gebeurde het?
*Heeft u logboeken van wie de gegevens heeft gedownload? - Wie is daar verantwoordelijk voor de veiligheid?
Hij reageerde niet.
Volgens de Amerikaanse en Europese wetgeving is het illegaal om inbreuken te negeren. Er bestaan kennisgevingsvereisten.
UK Visa Portal heeft niemand op de hoogte gebracht.
Aanvragers moeten weten dat dit niet verplicht is. U heeft geen derde partij nodig. Gebruik de officiële website van de Britse overheid. Bewaar de vergoeding. Red je gezicht.
We publiceerden de eerste waarschuwing op 26 mei.
De emmer is nu gesloten.
De advocaten wachten op ons. De managers zijn ons aan het ghosten.
En 100.000 mensen? Ze wachten gewoon tot iemand hen vertelt dat ze hun kredietmonitoring moeten controleren.
Als ze het ooit horen.
