Una investigación de TechCrunch encontró que un sitio web llamado UK Visa Portal había publicado miles de pasaportes y selfies de solicitantes que pagaron tarifas al sitio para obtener visas de inmigración del Reino Unido.
Una persona anónima alertó a TechCrunch sobre la falla de seguridad, diciendo que al menos 100.000 documentos estaban disponibles públicamente en el sitio web de personas que subieron sus pasaportes o selfies al sitio web como parte del proceso de solicitud.
Este sitio web no está afiliado al gobierno del Reino Unido y hemos recibido quejas de personas que han pagado tarifas por error a esta empresa sin utilizar el sitio web oficial GOV.UK.
Los datos expuestos se obtuvieron durante la noche del miércoles, horas después de que publicáramos nuestro primer artículo sobre el incidente. Dada la naturaleza altamente sensible de los datos filtrados, TechCrunch reveló que existen problemas de seguridad continuos, aunque retiene detalles específicos para minimizar mayores riesgos para la información privada de las personas.
TechCrunch aún no ha recibido una respuesta de la administración del Portal Visa del Reino Unido. Cuando los contactamos, en lugar de resolver el problema, la empresa nos envió un abogado y una firma de relaciones públicas.
La falla de seguridad es el ejemplo más reciente de una empresa que expone públicamente la identificación emitida por el gobierno de sus clientes en las últimas semanas, a menudo debido a una mala configuración más que a un ciberataque externo. La exposición de los pasaportes es especialmente problemática en un momento en que la verificación de identidad en línea está aumentando en todo el mundo, gracias a la aplicación gubernamental de leyes de verificación de edad.
La falta de respuesta de la compañía también deja preguntas abiertas sobre si alertará a los clientes afectados que sus pasaportes han sido divulgados públicamente o notificará a los reguladores según las leyes de notificación de violaciones de datos estatales de EE. UU. y Europa.
Se filtran pasaportes, selfies y datos de ubicación
La filtración de datos se produjo desde un servidor de almacenamiento público (también conocido como depósito) alojado por Amazon. El Portal de Visa del Reino Unido utiliza este servidor para alojar pasaportes y selfies cargados por los usuarios.
Aunque el contenido del depósito no era visible públicamente, cualquiera que conociera la dirección web de cada archivo podía acceder y ver los archivos que contenía. La persona que nos notificó sobre esta exposición dijo que un error en el backend del sitio web del Portal Visa del Reino Unido les permite ver la lista de archivos contenidos en un depósito.
TechCrunch confirmó que el Portal de Visa del Reino Unido (también conocido como UK Visit y ETA-Pass) fue la fuente de la violación de datos y verificó la autenticidad de los datos filtrados contactando a las personas afectadas y preguntando si la información era precisa.
Muchas de las fotografías subidas por los usuarios también incluyen su ubicación exacta en el mundo real, lo que revela dónde se tomó la imagen. En algunos casos, estos datos de ubicación eran lo suficientemente precisos como para revelar la dirección particular del fotógrafo.
El Portal de Visas del Reino Unido no proporciona una forma de informar problemas de seguridad a través de su sitio web, ni el sitio web proporciona nombres o información de contacto para la administración de la empresa. TechCrunch envió un correo electrónico a la dirección de correo electrónico que figura en el sitio web del Portal Visa del Reino Unido, advirtiendo sobre las continuas fallas de seguridad de la compañía y preguntando con quién en la administración podría compartir detalles para resolver el problema. TechCrunch explicó que los detalles no se pueden compartir con la bandeja de entrada general de atención al cliente de la empresa porque no puede garantizar que los datos publicados no se utilicen indebidamente.
Un representante de atención al cliente proporcionó a TechCrunch el nombre y la dirección de correo electrónico de Michael Taylor. Escuché que era el gerente del Portal de Visas del Reino Unido. Esa persona no respondió a nuestras consultas.
Poco después, abogados del bufete estadounidense BakerHostetler y representantes de la firma de relaciones públicas FTI Consulting se pusieron en contacto con TechCrunch, solicitando información sobre el tema en el portal de visas del Reino Unido. En respuesta a las preguntas de TechCrunch, los abogados no proporcionaron pruebas de que estuvieran autorizados a hablar en nombre de la empresa, ni siquiera nos proporcionaron registros públicos que confirmen los nombres y funciones de las personas que dicen representar. Una vez más señalamos que la información sobre fallas de seguridad no puede compartirse fuera del control de la empresa.
Agregó que si Taylor u otro gerente está dispuesto a aceptar información sobre fallas de seguridad, se los puede contactar o su abogado puede copiar la información en un hilo de correo electrónico. No hubo respuesta.
Después de que se publicó nuestro artículo y se aseguró el depósito, TechCrunch planteó una serie de preguntas a los abogados sobre las fallas de seguridad. Las preguntas planteadas al socio de BakerHostetler, Ryan Christian, incluyeron cuánto tiempo estuvieron expuestos los depósitos alojados en Amazon, por qué estuvieron expuestos y si la empresa tenía registros para determinar si alguien accedió o descargó los datos expuestos. También preguntamos quién, si corresponde, es responsable de la ciberseguridad en el Portal de Visas del Reino Unido. Christian no respondió.
Se dice que el Portal de Visas del Reino Unido es operado por una empresa llamada Active Leadgen LLC, que afirma ser una empresa con sede en los Emiratos Árabes Unidos. TechCrunch no pudo corroborar esto de forma independiente.
No es necesario utilizar un servicio de terceros para solicitar una autorización de viaje electrónica al Reino Unido a menos que contrate a un abogado de inmigración. Los solicitantes deben presentar su solicitud a través del sitio web del gobierno del Reino Unido.
Publicado por primera vez el 26 de mayo, actualizado con información adicional sobre la revocación de seguridad.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
