Публикуйте ТОЛЬКО перевод. Сохраняйте весь формат Markdown таким же, как в оригинале.
Не добавляйте никаких комментариев, объяснений или метатекстов:
Это был просто хранилище данных. Общественное хранилище данных на сайте Amazon. Именно там портал UK Visa Portal хранил паспорта и фотографии тысяч людей, которые думали, что получат помощь в области иммиграции.
TechCrunch узнал, что на сайте хранились как минимум 100 000 документов. Не метаданные. Самые настоящие файлы. Очевидные и доступные для всех, кто имеет нужный ссылку.
Анонимный источник сообщил нам об этом.
Они нашли баг. Это позволило им просмотреть список документов.
Это не правительство Великобритании. Это не GOV.UK. Это частная компания, которая взимает плату за услуги, которые можно получить бесплатно или через официальные каналы. Люди платят им по ошибке или намеренно. Трудно понять, когда сайт не предоставляет возможности для сообщения о нарушениях. На странице контактов нет ни одного имени. Просто черная клетка.
«Мы скрыли конкретные данные, чтобы минимизировать риски».
Мы выполнили свою работу. Мы сообщили о проблеме. Мы не добавляли ссылки. Мы хотели добиться исправлений, а не способствовать хищению данных.
К среде вечером хранилище было заблокировано.
После этого со стороны руководства последовала тишина.
Юристы попытались исправить ситуацию
Они сначала попытались исправить ситуацию? Они предупредили своих пользователей?
Нет. Они обратились к BakerHostetler. Американской юридической фирме.
И к FTI Consulting. Компании, занимающейся PR-работами.
Мы попытались связаться с руководством. Бот службы поддержки сообщил нам адрес электронной почты Майкла Тейлора. Он был менеджером. Но он не ответил.
Тогда юристы вмешались.
Они попросили у нас доказательства того, что они представляют UK Visa Portal. Общественные записи, документы в суде. Что-нибудь.
Они не предоставили этих доказательств.
Мы сказали: ладно. Передайте Тейлору, чтобы он ответил.
Тишина.
Что именно пропало?
Данные хранились на сервере, расположенном на Amazon. Технически это не было выставление файлов на публичный вид, но сами ссылки работали.
Паспорта. Фотографии.
Некоторые из этих фотографий имели сохраненные EXIF-данные. Координаты местоположения.
Достаточно точные, чтобы в некоторых случаях можно было определить адрес дома.
Разве странно, что кража личных данных становится все более распространенной проблемой?
Мы подтвердили утечку. Мы связались с людьми, которые предоставили данные на сайт. Они подтвердили, что это действительно они. Документы были настоящими. Риск был реальным.
Эта утечка показывает более широкую и более опасную тенденцию.
Компании неправильно конфигурируют хранилища данных. Снова и снова.
Правительства вводят законы о проверке возраста. Больше проверок личных данных. Больше документов загружается на нестабильные платформы. Цель становится все больше и больше.
UK Visa Portal (также известный как UK Visit или ETA-Pass ) утверждает, что управляет им компания Active Leadgen LLC, которая, по слухам, базируется в Египте. Мы не можем подтвердить это. Похоже, это еще одна фиктивная компания.
Все еще нет ответственности
Партнер BakerHostetler Райан Кристиан получил список вопросов:
- Как долго данные были доступны?
- Почему это произошло?
- У вас есть записи о тех, кто скачивал данные?
- Кто отвечает за безопасность?
Он не ответил.
Согласно законам США и Европы, игнорирование нарушений является незаконным. Существуют требования к уведомлению.
UK Visa Portal никому не сообщил о происшествии.
Кандидаты должны знать, что это не обязательно. Не нужен третьей сторона. Используйте официальный сайт правительства Великобритании. Сохраните плату. Сохраните свою репутацию.
Мы опубликовали первое предупреждение 26 мая.
Хранилище теперь закрыто.
Юристы ждут нас. Руководство игнорирует нас.
А 100 000 человек? Они просто ждут, когда кто-нибудь скажет им, что им следует проверить свою кредитную информацию.
Если они когда-либо услышат.
