Publikuj TYLKO tłumaczenie. Zachowaj cały format Markdown taki sam jak oryginał.
Nie dodawaj żadnych komentarzy, wyjaśnień ani metatekstu:
To była po prostu hurtownia danych. Publiczne przechowywanie danych w serwisie Amazon. To właśnie tam brytyjski portal wizowy przechowywał paszporty i zdjęcia tysięcy osób, które myślały, że otrzymają pomoc imigracyjną.
TechCrunch dowiedział się, że w witrynie przechowywano co najmniej 100 000 dokumentów. Nie metadane. Prawdziwe pliki. Oczywiste i dostępne dla każdego, kto ma odpowiedni link.
Poinformowało nas o tym anonimowe źródło.
Znaleźli błąd. Umożliwiło im to przeglądanie listy dokumentów.
To nie jest rząd Wielkiej Brytanii. To nie jest GOV.UK. Jest to prywatna firma pobierająca opłaty za usługi, które można uzyskać bezpłatnie lub za pośrednictwem oficjalnych kanałów. Ludzie płacą je przez pomyłkę lub celowo. Trudno zrozumieć, że witryna nie umożliwia zgłaszania naruszeń. Na stronie kontaktowej nie ma ani jednego nazwiska. Tylko czarna klatka.
„Ukryliśmy określone dane, aby zminimalizować ryzyko”.
Wykonaliśmy swoją pracę. Zgłosiliśmy problem. Nie dodaliśmy żadnych linków. Chcieliśmy dokonać poprawek, a nie ułatwiać kradzież danych.
W środę wieczorem skarbiec był zamknięty.
Po tym ze strony kierownictwa zapadła cisza.
Prawnicy próbowali naprawić sytuację
Czy najpierw próbowali naprawić sytuację? Czy ostrzegli swoich użytkowników?
Nie. Zwrócili się do BakerHostetler. Amerykańska kancelaria prawnicza.
Oraz FTI Consulting. Firma zajmująca się działaniami PR.
Próbowaliśmy skontaktować się z zarządem. Bot pomocy technicznej podał nam adres e-mail Michaela Taylora. Był menadżerem. Ale on nie odpowiedział.
Wtedy interweniowali prawnicy.
Poprosili nas o dowód, że reprezentują brytyjski portal wizowy. Akta publiczne, dokumenty sądowe. Wszystko.
Nie przedstawili tego dowodu.
Powiedzieliśmy: OK. Powiedz Taylorowi, żeby odpowiedział.
Cisza.
Czego dokładnie brakuje?
Dane były przechowywane na serwerze zlokalizowanym w firmie Amazon. Technicznie rzecz biorąc, nie było to publiczne wyświetlanie plików, ale same linki działały.
Paszporty. Zdjęcia.
Niektóre z tych zdjęć miały zapisane dane EXIF. Współrzędne lokalizacji.
Na tyle dokładny, że w niektórych przypadkach możliwe jest ustalenie adresu domu.
Czy to dziwne, że kradzież tożsamości staje się coraz powszechniejszym problemem?
Potwierdziliśmy wyciek. Skontaktowaliśmy się z osobami, które przekazały dane do serwisu. Potwierdzili, że to rzeczywiście oni. Dokumenty były prawdziwe. Ryzyko było realne.
Wyciek ten pokazuje szerszy i bardziej niebezpieczny trend.
Firmy błędnie konfigurują hurtownie danych. Wciąż.
Rządy wprowadzają przepisy dotyczące weryfikacji wieku. Więcej kontroli tożsamości. Więcej dokumentów jest przesyłanych na niestabilne platformy. Cel staje się coraz większy.
Brytyjski portal wizowy (znany również jako UK Visit lub ETA-Pass ) twierdzi, że jest obsługiwany przez firmę Active Leadgen LLC, która według plotek ma siedzibę w Egipcie. Nie możemy tego potwierdzić. Wygląda na to, że to kolejna fałszywa firma.
Nadal nie ma odpowiedzialności
Partner BakerHostetler Ryan Christian otrzymał listę pytań:
- Jak długo dane są dostępne?
- Dlaczego tak się stało?
- Czy masz rejestr, kto pobrał dane?
- Kto jest odpowiedzialny za bezpieczeństwo?
Nie odpowiedział.
Zgodnie z prawem amerykańskim i europejskim ignorowanie naruszeń jest nielegalne. Istnieją wymagania dotyczące powiadomień.
Portal UK Visa nikogo nie poinformował o zdarzeniu.
Kandydaci powinni mieć świadomość, że nie jest to obowiązkowe. Nie jest wymagana żadna osoba trzecia. Skorzystaj z oficjalnej strony internetowej rządu Wielkiej Brytanii. Zapisz planszę. Zachowaj swoją reputację.
Pierwsze ostrzeżenie opublikowaliśmy 26 maja.
Magazyn jest obecnie zamknięty.
Prawnicy na nas czekają. Zarząd nas ignoruje.
A co ze 100 000 ludzi? Czekają tylko, aż ktoś im powie, że powinni sprawdzić swoje dane kredytowe.
Jeśli kiedykolwiek usłyszą.
