علمت TechCrunch أن موقعًا إلكترونيًا يسمى UK Visa Portal نشر علنًا آلاف جوازات السفر والصور الشخصية للأشخاص الذين دفعوا للموقع للحصول على تأشيرة هجرة إلى المملكة المتحدة.
نبه مصدر مجهول موقع TechCrunch إلى الثغرة الأمنية، مدعيًا أن الموقع كشف ما لا يقل عن 100000 مستند من أشخاص قاموا بتحميل جوازات سفرهم وصورهم الشخصية إلى الموقع كجزء من عملية التقديم.
الموقع غير تابع لحكومة المملكة المتحدة و بعض لديك اشتكى أنهم دفعوا عن طريق الخطأ رسومًا لهذه الشركة بدلاً من ذلك باستخدام الموقع الرسمي GOV.UK.
تم تأمين البيانات المسربة خلال ليلة الأربعاء، بعد ساعات من نشر قصتنا الأولى عن الحادث. ونظرًا للطبيعة الحساسة للغاية للبيانات المكشوفة، كشفت TechCrunch عن وجود مشكلة أمنية مستمرة، مع حجب التفاصيل لتقليل المخاطر الإضافية على المعلومات الخاصة للأفراد.
لم تتلق TechCrunch حتى الآن ردًا من إدارة بوابة تأشيرات المملكة المتحدة. وبدلاً من حل المشكلة عندما اتصلنا بنا، أرسلت الشركة محاميها وشركة العلاقات العامة الخاصة بها إلينا.
تعد الثغرة الأمنية أحدث مثال على قيام الشركات بالكشف علنًا عن وثائق الهوية الحساسة الصادرة عن الحكومة لعملائها في الأسابيع الأخيرة، والتي غالبًا ما تكون ناجمة عن تكوين خاطئ وليس هجومًا إلكترونيًا خارجيًا. يمثل الكشف عن جواز السفر مشكلة خاصة في الوقت الذي تتزايد فيه عمليات التحقق من الهوية عبر الإنترنت في جميع أنحاء العالم بفضل قيام الحكومات بإدخال قوانين التحقق من العمر.
كما أن عدم استجابة الشركة يترك السؤال مفتوحًا حول ما إذا كانت ستخطر العملاء المتأثرين بأن جوازات سفرهم قد تم الكشف عنها علنًا، أو ما إذا كانت ستخطر المنظمين كما هو مطلوب بموجب قوانين الإخطار بخرق البيانات الحكومية والأوروبية.
جوازات السفر المكشوفة، صور شخصية وبيانات الموقع
حدث تسرب البيانات من خادم تخزين عام تستضيفه أمازون (المعروف أيضًا باسم الدلو) والذي تستخدمه بوابة تأشيرة المملكة المتحدة لتخزين جوازات السفر والصور الشخصية التي تم تحميلها من قبل المستخدمين.
على الرغم من أن المجموعة لم تكشف عن محتوياتها علنًا، إلا أن الملفات الموجودة بها كانت لا تزال قابلة للوصول ومرئية لأي شخص يعرف عنوان الويب لكل ملف. قال الشخص الذي أبلغنا بشأن التعرض إن خطأً في الواجهة الخلفية لموقع UK Visa Portal سمح له بمشاهدة قائمة الملفات الموجودة في المجموعة.
وأكد موقع TechCrunch ذلك بوابة تأشيرة المملكة المتحدة (المعروف أيضًا باسم زيارة إلى بريطانيا العظمى و تمريرة إيتا) هو مصدر تسرب البيانات وتم التحقق من صحة البيانات المسربة من خلال الاتصال بالأفراد المعنيين للاستفسار عن صحة معلوماتهم.
تضمنت العديد من الصور التي أرسلها المستخدم أيضًا موقعًا حقيقيًا يوضح مكان التقاطها؛ وفي بعض الحالات، كانت بيانات الموقع هذه دقيقة بما يكفي للكشف عن عنوان منزل الشخص الذي يلتقط الصورة.
لا تسمح لك بوابة تأشيرة المملكة المتحدة بالإبلاغ عن المشكلات الأمنية عبر موقعها الإلكتروني، كما أنها لا تقدم أسماء أو تفاصيل الاتصال بإدارة الشركة. أرسلت TechCrunch بريدًا إلكترونيًا إلى عنوان البريد الإلكتروني المدرج على موقع UK Visa Portal الإلكتروني، لتنبيههم بأن الشركة كانت تعاني من ثغرات أمنية مستمرة وسؤالهم عن الجهة الإدارية التي يمكننا مشاركة التفاصيل معها للمساعدة في حل المشكلة. أوضح موقع TechCrunch أنه لا يمكننا مشاركة التفاصيل مع صندوق البريد الوارد العام لخدمة العملاء بالشركة لأنه لا يمكننا ضمان عدم إساءة استخدام البيانات التي تم الكشف عنها.
قام أحد ممثلي خدمة العملاء بتزويد TechCrunch بالاسم وعنوان البريد الإلكتروني لمايكل تايلور، الذي قيل لنا أنه مدير في بوابة تأشيرة المملكة المتحدة. هذا الشخص لم يرد على استفسارنا.
بعد ذلك بوقت قصير، اتصل محامون من شركة المحاماة الأمريكية BakerHostetler وممثلون من شركة العلاقات العامة FTI Consulting بـ TechCrunch لطلب معلومات حول المشكلة على بوابة تأشيرات المملكة المتحدة. وعندما سألهم موقع TechCrunch، لم يقدم المحامون دليلاً على أنهم مخولون بالتحدث نيابة عن الشركة، على سبيل المثال من خلال عدم تقديم سجل عام يؤكد أسماء وأدوار الأشخاص الذين يدعون أنهم يمثلونهم. ومرة أخرى، لاحظنا أنه لا يمكننا مشاركة المعلومات حول الاختراق الأمني خارج إدارة الشركة.
أضفنا أنه إذا كان تايلور أو مدير آخر على استعداد لقبول معلومات الانتهاك، فيمكنهم الاتصال بهم أو يمكن للمحامين نسخها في سلسلة رسائل البريد الإلكتروني. ولم نسمع جوابا.
بعد نشر قصتنا وتأمين الدلو، طرح موقع TechCrunch على المحامين سلسلة من الأسئلة حول الثغرة الأمنية. تضمنت الأسئلة التي طرحناها على شريك BakerHostetler، ريان كريستيان، المدة التي تم فيها كشف الحاوية التي تستضيفها أمازون، وسبب الكشف عنها، وما إذا كان لدى الشركة أي سجلات لتحديد ما إذا كان أي شخص قد وصل إلى البيانات المكشوفة أو قام بتنزيلها. لقد سألنا أيضًا عمن هو المسؤول، إن وجد، عن الأمن السيبراني في بوابة تأشيرات المملكة المتحدة. كريستيان لم يجيب.
يُزعم أن بوابة تأشيرة المملكة المتحدة تُدار من قبل شركة تدعى Active Leadgen LLC، والتي تدعي أن مقرها في دولة الإمارات العربية المتحدة. ولم يتمكن موقع TechCrunch من تأكيد ذلك بشكل مستقل.
ليس من الضروري الاستعانة بطرف ثالث لتقديم طلب للحصول على تصريح إلكتروني للسفر إلى المملكة المتحدة ما لم يتم تعيين محامي هجرة ويجب على المتقدمين للحصول على التأشيرة التقديم عبر الموقع الإلكتروني لحكومة المملكة المتحدة.
تم نشره لأول مرة في 26 مايو وتم تحديثه بمعلومات إضافية حول الثغرة الأمنية.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. وهذا لا يؤثر على استقلالنا التحريري.
