Un site Web appelé UK Visa Portal a exposé publiquement des milliers de passeports et de photos de selfies de candidats qui ont payé sur le site pour obtenir un visa d’immigration britannique, a appris TechCrunch.
Une personne anonyme a informé TechCrunch de la faille de sécurité, affirmant que le site Web exposait au moins 100 000 documents provenant de personnes qui avaient téléchargé leurs passeports et leurs selfies sur le site Web dans le cadre du processus de candidature.
Le site Web n’est pas affilié au gouvernement britannique et certains se sont plaints d’avoir payé par erreur des frais à cette société au lieu d’utiliser le site Web officiel de GOV.UK.
Les données exposées ont été sécurisées dans la nuit de mercredi, quelques heures après la publication de notre premier article sur l’incident. Compte tenu de la nature hautement sensible des données exposées, TechCrunch a révélé qu’il existait un problème de sécurité persistant, tout en dissimulant des détails spécifiques afin de minimiser tout risque supplémentaire pour les informations privées des individus.
TechCrunch n’a toujours pas reçu de réponse de la direction du UK Visa Portal. Plutôt que de résoudre le problème lorsque nous l’avons contacté, l’entreprise nous a envoyé ses avocats et son cabinet de relations publiques.
Cette faille de sécurité est le dernier exemple en date d’entreprises exposant publiquement les documents d’identité sensibles émis par le gouvernement de leurs clients au cours des dernières semaines, souvent causées par une mauvaise configuration plutôt que par une cyberattaque extérieure. La divulgation des passeports est particulièrement problématique à une époque où les contrôles d’identité en ligne se multiplient dans le monde, grâce aux gouvernements qui mettent en place des lois sur la vérification de l’âge.
L’absence de réponse de l’entreprise laisse également des questions ouvertes quant à savoir si elle alertera les clients concernés que leurs passeports ont été exposés publiquement, ou informera les régulateurs comme l’exigent les lois américaines et européennes sur la notification des violations de données.
Passeports, selfies et données de localisation exposés
La fuite de données provenait d’un serveur de stockage public hébergé par Amazon (également connu sous le nom de bucket), que le portail Visa britannique utilise pour héberger les passeports et les selfies téléchargés par les utilisateurs.
Même si le contenu du compartiment n’était pas publiquement répertorié, les fichiers qu’il contenait étaient toujours accessibles et visibles par toute personne connaissant l’adresse Web de chaque fichier. La personne qui nous a informés de l’exposition a déclaré qu’un bug sur le backend du site Web du UK Visa Portal lui permettait de visualiser la liste des fichiers contenus dans le compartiment.
TechCrunch a confirmé que UK Visa Portal (également connu sous le nom de UK Visit et ETA-Pass) était la source de la fuite de données et a vérifié l’authenticité des données exposées en contactant les personnes concernées pour leur demander si leurs informations étaient exactes.
De nombreuses photos téléchargées par les utilisateurs contenaient également l’emplacement précis du monde réel, révélant l’endroit où les images ont été prises ; dans certains cas, ces données de localisation étaient suffisamment précises pour révéler l’adresse du domicile du preneur d’images.
UK Visa Portal ne permet pas de signaler les problèmes de sécurité via son site Web, et son site Web ne fournit pas non plus les noms ou les coordonnées de la direction de l’entreprise. TechCrunch a envoyé un e-mail à l’adresse e-mail indiquée sur le site Web du UK Visa Portal, les alertant que l’entreprise présentait un problème de sécurité persistant et demandant avec qui, dans la direction, nous pourrions partager des détails pour résoudre le problème. TechCrunch a expliqué que nous ne pouvions pas partager de détails avec la boîte de réception générale du support client de l’entreprise, car nous ne pouvions pas garantir que les données exposées ne seraient pas utilisées à mauvais escient.
Le responsable du service client a fourni à TechCrunch le nom et l’adresse e-mail de Michael Taylor, dont on nous a dit qu’il était responsable du UK Visa Portal. La personne n’a pas répondu à notre demande.
Peu de temps après, des avocats du cabinet d’avocats américain BakerHostetler et des représentants du cabinet de relations publiques FTI Consulting ont contacté TechCrunch pour obtenir des informations sur le problème sur le portail des visas britanniques. Interrogés par TechCrunch, les avocats n’ont pas fourni la preuve qu’ils étaient autorisés à parler au nom de l’entreprise, par exemple en nous fournissant un dossier public confirmant le nom et le rôle des personnes qu’ils prétendent représenter. Nous avons de nouveau constaté que nous ne pouvions pas partager d’informations sur les failles de sécurité en dehors de la direction de l’entreprise.
Nous avons ajouté que si Taylor, ou un autre responsable, est prêt à accepter des informations sur la faille de sécurité, ils peuvent nous contacter – ou les avocats peuvent les copier sur le fil de discussion. Nous n’avons pas eu de réponse.
Après la publication de notre article et la sécurité du seau, TechCrunch a posé aux avocats une série de questions sur les failles de sécurité. Les questions que nous avons posées à Ryan Christian, partenaire de BakerHostetler, comprenaient la durée pendant laquelle le compartiment hébergé par Amazon a été exposé, la raison pour laquelle il a été exposé et si l’entreprise disposait de journaux pour déterminer si quelqu’un avait accédé ou téléchargé les données exposées. Nous avons également demandé qui, sur UK Visa Portal, est responsable de la cybersécurité, le cas échéant. Christian n’a pas répondu.
UK Visa Portal serait géré par une société appelée Active Leadgen LLC, qui prétend être une société basée aux Émirats arabes unis. TechCrunch n’a pas pu corroborer cela de manière indépendante.
Il n’est pas nécessaire d’utiliser un service tiers pour demander une autorisation de voyage électronique au Royaume-Uni, sauf si vous faites appel à un avocat chargé de l’immigration, et les candidats doivent postuler via le site Web du gouvernement britannique.
Publié pour la première fois le 26 mai et mis à jour avec des informations supplémentaires sur la faille de sécurité.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
