Публікуйте ТІЛЬКИ переклад. Зберігайте весь формат Markdown таким, як у оригіналі.
Не додавайте жодних коментарів, пояснень чи метатекстів:
Це було просто сховище даних. Громадське сховище даних на сайті Amazon. Саме там портал UK Visa Portal зберігав паспорти та фотографії тисяч людей, які думали, що матимуть допомогу в галузі імміграції.
TechCrunch дізнався, що на сайті зберігалися щонайменше 100 000 документів. Чи не метадані. Справжні файли. Очевидні та доступні для всіх, хто має потрібне посилання.
Анонімне джерело повідомило нам про це.
Вони знайшли баг. Це дозволило їм переглянути список документів.
Це не уряд Великої Британії. Це не GOV.UK. Це приватна компанія, яка стягує плату за послуги, які можна отримати безплатно або через офіційні канали. Люди платять їм помилково чи навмисно. Важко зрозуміти, коли сайт не дає можливості для повідомлення про порушення. На сторінці контактів немає жодного імені. Просто чорна клітка.
«Ми приховали конкретні дані, щоб мінімізувати ризики».
Ми виконали свою роботу. Ми повідомили про проблему. Ми не додавали посилання. Ми хотіли добитися виправлень, а не сприяти розкраданню даних.
До середи ввечері сховище було заблоковане.
Після цього з боку керівництва настала тиша.
Юристи спробували виправити ситуацію
Вони спершу спробували виправити ситуацію? Вони попередили своїх користувачів?
Ні. Вони звернулися до BakerHostetler. Американська юридична фірма.
І до FTI Consulting. Компанії, що займається PR-роботами.
Ми спробували зв’язатися із керівництвом. Бот служби підтримки повідомив нам адресу електронної пошти Майкла Тейлора. Він був менеджером. Але він не відповів.
Тоді юристи втрутилися.
Вони попросили у нас доказів того, що вони представляють UK Visa Portal. Громадські записи, документи у суді. Щось.
Вони не надали цих доказів.
Ми сказали: гаразд. Передайте Тейлору, щоб він відповів.
Тиша.
Що саме пропало?
Дані зберігалися на сервері на Amazon. Технічно це було виставлення файлів на публічний вигляд, але самі посилання працювали.
Паспорти. Фотографії.
Деякі з цих фотографій мали збережені дані EXIF. Координати розташування.
Досить точні, щоб у деяких випадках можна було визначити адресу будинку.
Хіба дивно, що крадіжка особистих даних стає дедалі поширенішою проблемою?
Ми підтвердили витік. Ми зв’язалися із людьми, які надали дані на сайт. Вони підтвердили, що це справді вони. Документи були справжніми. Ризик був реальним.
Цей витік показує ширшу і небезпечнішу тенденцію.
Компанії неправильно конфігурують сховища даних. Знову і знову.
Уряди запроваджують закони про перевірку віку. Більше перевірок особистих даних. Більше документів завантажується на нестабільні платформи. Мета стає дедалі більше.
UK Visa Portal (також відомий як UK Visit або ETA-Pass**) стверджує, що керує ним компанія Active Leadgen LLC, яка, за чутками, базується в Єгипті. Ми не можемо це підтвердити. Схоже, що це ще одна фіктивна компанія.
Все ще немає відповідальності
Партнер BakerHostetler Райан Крістіан отримав перелік питань:
- Як довго дані були доступні?
- Чому це сталося?
- У вас є записи про тих, хто завантажував дані?
- Хто відповідає за безпеку?
Він не відповів.
Згідно із законами США та Європи, ігнорування порушень є незаконним. Існують вимоги до повідомлення.
UK Visa Portal нікому не повідомив про подію.
Кандидати мають знати, що це необов’язково. Не потрібен третій бік. Використовуйте офіційний сайт уряду Великої Британії. Збережіть плату. Збережіть репутацію.
Ми опублікували перше попередження 26 травня.
Сховище тепер закрите.
Юристи чекають на нас. Керівництво ігнорує нас.
А 100 тисяч осіб? Вони просто чекають, коли хтось скаже їм, що їм слід перевірити свою кредитну інформацію.
Якщо вони колись почують.
