Et alvorligt britisk visalæk eksponerede passcanninger og selfiebilleder tilhørende omkring 100.000 ansøgere. Forskere opdagede filerne i et usikret cloudlagringssystem tilknyttet en tredjeparts immigrationsplatform.
Hændelsen har skabt stor bekymring omkring digitale identitetsverificeringstjenester og måden, private visumvirksomheder håndterer følsomme brugerdata på. Eksperter advarede også om, at eksponerede identitetsdokumenter kan bruges til svindel, phishingangreb og identitetstyveri.
Forskere fandt offentligt tilgængelige filer
De eksponerede filer tilhørte ifølge rapporter en privat immigrationsplatform kaldet UK Visa Portal. Tjenesten hjælper brugere med at ansøge om britiske visa og elektroniske rejsetilladelser. Platformen fungerer dog ikke som en officiel britisk myndighedshjemmeside.
Forskere oplyste, at databasen indeholdt pasbilleder, selfie-fotos brugt til identitetsverificering samt andre uploadede identitetsdokumenter. Nogle billeder indeholdt også metadata, som afslørede lokationsoplysninger knyttet til filerne.
Ifølge efterforskere opstod problemet på grund af et fejlkonfigureret cloudlagringssystem. Lagringsmiljøet viste ikke alle filer offentligt frem. Personer med den korrekte filadresse kunne dog stadig få adgang til følsomme dokumenter uden autentificering.
Forskere bekræftede senere, at de lækkede filer tilhørte rigtige brugere efter at have kontaktet flere berørte personer direkte.
Sikkerhedseksperter kritiserede virksomhedens håndtering
Det britiske visalæk modtog yderligere kritik efter rapporter om, at virksomheden ikke reagerede hurtigt på sikkerhedsadvarsler. Forskere forsøgte angiveligt at advare organisationen, før hændelsen blev offentlig kendt.
I stedet for at give et direkte offentligt svar skal virksomheden have benyttet juridiske repræsentanter og PR-bureauer i de tidlige faser af afsløringen.
Sikkerhedseksperter kritiserede også manglen på gennemsigtighed omkring hændelsen. Efterforskere ved stadig ikke, hvor længe filerne lå eksponeret, eller om trusselsaktører downloadede dataene, før virksomheden sikrede lagringssystemet.
Hændelsen viser samtidig, hvor udbredte dårligt sikrede cloudmiljøer med følsomme kundeoplysninger er blevet.
Eksponerede pasdata skaber langsigtede risici
Cybersikkerhedsforskere advarede om, at paslæk skaber alvorlige privatlivs- og sikkerhedsrisici for de berørte brugere. I modsætning til adgangskoder kan officielle identitetsdokumenter ikke udskiftes hurtigt efter et læk.
Trusselsaktører kan bruge lækkede dokumenter og selfiebilleder til flere former for kriminel aktivitet, blandt andet:
- Identitetstyveri
- Finansiel svindel
- Oprettelse af falske konti
- Social engineering-angreb
- Phishingkampagner
- Forsøg på at omgå verificeringssystemer
Forskere advarede også om, at eksponerede metadata i nogle tilfælde kan skabe yderligere privatlivsproblemer.
Den stigende brug af digitale identitetsverificeringssystemer har samtidig øget mængden af følsomme oplysninger, som lagres online. Mange moderne platforme kræver nu, at brugere uploader pas, selfies og biometriske verificeringsbilleder for at gennemføre registreringsprocesser.
Brugere opfordres til at benytte officielle myndighedssider
Rapporter antydede, at nogle ansøgere kan have forvekslet platformen med en officiel britisk immigrationsservice. Forskere advarede om, at uofficielle visumtjenester ofte placerer sig højt i online søgeresultater.
Cybersikkerhedseksperter anbefalede brugere at benytte officielle myndighedshjemmesider direkte, når det er muligt. Brugere bør også kontrollere domænenavne nøje, før de uploader personlige dokumenter eller betalingsoplysninger.
Det britiske visalæk følger samtidig en bredere tendens med eksponerede clouddatabaser og utilstrækkeligt sikrede identitetsplatforme.
Konklusion
Det britiske visalæk eksponerede passcanninger og selfiebilleder fra omkring 100.000 ansøgere, efter at en tredjepartsplatform ikke formåede at beskytte følsomme filer ordentligt. Hændelsen har øget bekymringen omkring digitale identitetsverificeringssystemer og tredjeparters håndtering af brugerdata.
Forskere advarede om, at lækkede identitetsdokumenter kan bruges til svindel, phishing og langvarigt identitetstyveri. Hændelsen fungerer også som endnu en påmindelse om, at brugere bør stole på officielle myndighedsplatforme, når de indsender følsomme immigrationsdokumenter online.
0 svar til “UK-visalæk afslører pas og selfies fra 100.000 ansøgere”