Era apenas um balde.
Um balde de armazenamento público na Amazon. Foi aí que o Portal de Vistos do Reino Unido estacionou os passaportes e selfies de milhares de pessoas que pensavam estar recebendo ajuda de imigração.
O TechCrunch descobriu que o site estava expondo pelo menos 100.000 documentos. Não metadados. Os arquivos reais. Claro. Visível. Disponível para qualquer pessoa com o link certo.
Uma fonte anônima nos avisou.
Eles encontraram um bug. Isso permitiu que eles vissem a lista.
Este não é o governo do Reino Unido. Este não é GOV.UK. Esta é uma empresa privada que cobra taxas por serviços que você pode obter gratuitamente ou por meio de canais oficiais. As pessoas pagam por engano. Ou por design. É difícil dizer quando o site não oferece nenhuma maneira de relatar uma violação. Zero nomes na página de contato. Apenas uma caixa preta.
“Omitimos detalhes para minimizar o risco.”
Fizemos o nosso trabalho. Publicamos que algo estava errado. Não colamos os URLs. Queríamos forçar uma correção, não facilitar a coleta de dados.
Na noite de quarta-feira, o balde estava trancado.
Seguiu-se o silêncio da administração.
Advogados antes das soluções
Eles consertaram primeiro? Eles avisaram seus usuários?
Não. Eles ligaram para BakerHostetler. Um escritório de advocacia dos EUA.
E Consultoria FTI. Uma loja de relações públicas.
Tentamos chegar à gerência. O bot de suporte ao cliente nos enviou um e-mail para Michael Taylor. Disse que ele era um gerente. Ele não respondeu.
Então os advogados intervieram.
Eles nos pediram informações.
Pedimos provas de que representavam o Portal de Vistos do Reino Unido. Registro público. Arquivamento judicial. Algo.
Eles não forneceram isso.
Nós dissemos tudo bem. Copie o Sr. Taylor. Faça com que ele responda.
Silêncio de rádio.
O que exatamente desapareceu?
Os dados estavam armazenados em um servidor hospedado na Amazon. Tecnicamente, não “listava” os arquivos aos olhos do público, mas os próprios links funcionavam.
Passaportes. Selfies.
Algumas dessas fotos tinham dados EXIF intactos. Coordenadas de localização.
Preciso o suficiente para revelar um endereço residencial em alguns casos.
É de admirar que o roubo de identidade esteja crescendo?
Verificamos o vazamento. Entramos em contato com pessoas reais que enviaram dados ao site. Eles confirmaram que eram eles. Os documentos eram reais. O risco era real.
A exposição destaca uma tendência mais ampla e mais feia.
As empresas estão configurando incorretamente o armazenamento. De novo e de novo.
Os governos estão promovendo leis de verificação de idade. Mais verificações de identidade. Mais documentos enviados para plataformas instáveis. A meta fica maior a cada dia.
O UK Visa Portal (também chamado de UK Visit ou ETA-Pass ) afirma ser administrado pela Active Leadgen LLC, supostamente com sede nos Emirados Árabes Unidos. Não foi possível confirmar essa parte. Parece ser outra concha.
Ainda sem responsabilidade
O parceiro da BakerHostetler, Ryan Christian, recebeu uma lista de perguntas.
- Quanto tempo ficou exposto?
*Por que isso aconteceu? - Você tem registros de quem baixou os dados?
- Quem é o responsável pela segurança lá?
Ele não respondeu.
É ilegal, segundo as leis dos EUA e da Europa, ignorar violações. Existem requisitos de notificação.
O Portal de Vistos do Reino Unido não notificou ninguém.
Os candidatos precisam saber que isso não é obrigatório. Você não precisa de terceiros. Use o site oficial do governo do Reino Unido. Economize a taxa. Salve sua cara.
Publicamos o primeiro aviso em 26 de maio.
O balde está fechado agora.
Os advogados estão esperando por nós. Os gerentes estão nos fantasiando.
E 100,00 pessoas? Eles estão apenas esperando que alguém lhes diga que devem verificar o monitoramento de crédito.
Se algum dia eles ouvirem.
