Un sitio web llamado UK Visa Portal expuso públicamente miles de pasaportes y selfies de solicitantes que pagaron al sitio para obtener una visa de inmigración del Reino Unido, según se enteró TechCrunch.
Una persona anónima notificó a TechCrunch sobre la falla de seguridad, diciendo que el sitio web estaba exponiendo al menos 100.000 documentos de personas que subieron sus pasaportes y selfies al sitio web como parte del proceso de solicitud.
El sitio web no está afiliado al gobierno del Reino Unido y algunos se han quejado de que pagaron una tarifa por error a esta empresa en lugar de utilizar el sitio web oficial GOV.UK.
Los datos expuestos se obtuvieron durante la noche del miércoles, horas después de que publicáramos nuestra historia inicial sobre el incidente. Dada la naturaleza altamente sensible de los datos expuestos, TechCrunch reveló que había un problema de seguridad continuo, aunque retuvo detalles específicos para minimizar cualquier riesgo adicional para la información privada de las personas.
TechCrunch aún no ha recibido respuesta de la gerencia del Portal Visa del Reino Unido. En lugar de solucionar el problema cuando nos comunicamos, la compañía envió a sus abogados y a su firma de relaciones públicas hacia nosotros.
La falla de seguridad es el último ejemplo de empresas que exponen públicamente los documentos de identidad confidenciales emitidos por el gobierno de sus clientes en las últimas semanas, a menudo causado por una mala configuración más que por un ciberataque externo. La exposición de los pasaportes es especialmente problemática en un momento en que los controles de identidad en línea están aumentando en todo el mundo, gracias a que los gobiernos están implementando leyes de verificación de edad.
La falta de respuesta de la compañía también deja abiertas preguntas sobre si alertará a los clientes afectados que sus pasaportes fueron expuestos públicamente, o notificará a los reguladores como lo exigen las leyes de notificación de violaciones de datos estatales de EE. UU. y Europa.
Pasaportes, selfies y datos de ubicación expuestos
La filtración de datos provino de un servidor de almacenamiento público alojado en Amazon (también conocido como depósito), que el Portal Visa del Reino Unido utiliza para alojar pasaportes y selfies cargados por los usuarios.
Si bien el depósito no enumeraba públicamente su contenido, los archivos que contenía aún eran accesibles y visibles para cualquiera que conociera la dirección web de cada archivo. La persona que nos notificó sobre la exposición dijo que un error en el backend del sitio web del Portal Visa del Reino Unido les permitió ver la lista de archivos contenidos en el depósito.
TechCrunch confirmó que el UK Visa Portal (también conocido como UK Visit y ETA-Pass) fue la fuente de la filtración de datos y verificó la autenticidad de los datos expuestos contactando a las personas afectadas para preguntarles si su información era precisa.
Muchas de las fotografías subidas por los usuarios también contenían la ubicación precisa del mundo real, revelando dónde se tomaron las imágenes; en algunos casos, estos datos de ubicación eran lo suficientemente precisos como para exponer la dirección particular del tomador de la imagen.
UK Visa Portal no proporciona una forma de informar problemas de seguridad a través de su sitio web, ni su sitio web proporciona nombres o información de contacto de la administración de la empresa. TechCrunch envió un correo electrónico a la dirección de correo electrónico que figura en el sitio web del Portal Visa del Reino Unido, alertándoles que la empresa tenía una falla de seguridad continua y preguntando con quién en la administración podíamos compartir detalles para resolver el problema. TechCrunch explicó que no podíamos compartir detalles con la bandeja de entrada general de atención al cliente de la compañía porque no podíamos garantizar que los datos expuestos no fueran utilizados indebidamente.
La persona de atención al cliente proporcionó a TechCrunch el nombre y la dirección de correo electrónico de Michael Taylor, de quien nos dijeron que es gerente del Portal Visa del Reino Unido. La persona no respondió a nuestra consulta.
Poco después, los abogados del bufete de abogados estadounidense BakerHostetler y representantes de la firma de relaciones públicas FTI Consulting se pusieron en contacto con TechCrunch en busca de información sobre el tema en el Portal Visa del Reino Unido. Cuando TechCrunch les preguntó, los abogados no proporcionaron pruebas de que estuvieran autorizados a hablar en nombre de la empresa, como proporcionarnos un registro público que confirme el nombre y la función de las personas que dicen representar. Nuevamente notamos que no podíamos compartir información sobre la falla de seguridad fuera de la administración de la empresa.
Agregamos que si Taylor u otro gerente están dispuestos a aceptar información sobre la falla de seguridad, pueden comunicarse con ellos o los abogados pueden copiarlos en el hilo del correo electrónico. No recibimos respuesta.
Después de que se publicó nuestra historia y se aseguró el depósito, TechCrunch presentó a los abogados una serie de preguntas sobre la falla de seguridad. Las preguntas que le hicimos al socio de BakerHostetler, Ryan Christian, incluyeron cuánto tiempo estuvo expuesto el depósito alojado en Amazon, el motivo por el que estuvo expuesto y si la empresa tenía algún registro para determinar si alguien accedió o descargó los datos expuestos. También preguntamos quién en el Portal de Visa del Reino Unido es responsable de la ciberseguridad, si es que hay alguien. Cristiano no respondió.
El portal de visas del Reino Unido supuestamente está dirigido por una empresa llamada Active Leadgen LLC, que pretende ser una empresa con sede en los Emiratos Árabes Unidos. TechCrunch no pudo corroborar esto de forma independiente.
No es necesario utilizar un servicio de terceros para solicitar una autorización de viaje electrónica al Reino Unido, a menos que contrate a un abogado de inmigración, y los solicitantes deben presentar la solicitud a través del sitio web del gobierno del Reino Unido.
Publicado por primera vez el 26 de mayo y actualizado con información adicional sobre la falla de seguridad.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
