Ιδιωτική πλατφόρμα μεσολάβησης για βίζα στο Ηνωμένο Βασίλειο εξέθεσε χιλιάδες διαβατήρια, selfies και δεδομένα τοποθεσίας χρηστών. Η εταιρεία απάντησε με δικηγόρους αντί για διορθωτικές κινήσεις.
Σοβαρό περιστατικό διαρροής ευαίσθητων προσωπικών δεδομένων αποκαλύφθηκε γύρω από την ιδιωτική ιστοσελίδα UK Visa Portal, η οποία προσφέρει, επί πληρωμή, υπηρεσίες διαμεσολάβησης για αιτήσεις βίζας και ηλεκτρονικής ταξιδιωτικής άδειας προς το Ηνωμένο Βασίλειο. Σύμφωνα με την έρευνα, εκτέθηκαν δημόσια χιλιάδες σαρωμένα διαβατήρια, selfies ταυτοποίησης και δεδομένα ακριβούς τοποθεσίας των αιτούντων, χωρίς η εταιρεία να αντιδρά άμεσα με τεχνική διόρθωση, αλλά επιλέγοντας να κινητοποιήσει δικηγόρους και εταιρεία επικοινωνίας.
Κενό ασφαλείας σε Amazon bucket και απουσία διαφάνειας
Η διαρροή προήλθε από δημόσια προσβάσιμο αποθηκευτικό χώρο (Amazon S3 bucket) που χρησιμοποιούσε η πλατφόρμα για τη φιλοξενία των αρχείων χρηστών. Αν και ο κατάλογος των αρχείων δεν ήταν ορατός, οποιοσδήποτε γνώριζε ή μπορούσε να μαντέψει το URL είχε πρόσβαση σε διαβατήρια και φωτογραφίες. Ερευνητής που εντόπισε bug στο backend της ιστοσελίδας κατάφερε να δει τη λίστα των αρχείων και να επιβεβαιώσει την κλίμακα του προβλήματος, κάνοντας λόγο για τουλάχιστον 100.000 έγγραφα.
Ιδιαίτερα ανησυχητικό είναι ότι πολλές από τις selfies περιείχαν μεταδεδομένα γεωεντοπισμού, ικανά να αποκαλύψουν ακόμη και τη διεύθυνση κατοικίας των χρηστών. Η πλατφόρμα, που φέρεται να συνδέεται με εταιρεία ονόματι Active Leadgen LLC με έδρα στα Ηνωμένα Αραβικά Εμιράτα, δεν παρέχει στο site της σαφή στοιχεία διοίκησης ούτε ειδικό κανάλι αναφοράς θεμάτων ασφαλείας.
Νομικοί κίνδυνοι, υποχρεώσεις ειδοποίησης και παγίδες για ταξιδιώτες
Παρά το ότι το αποθηκευτικό bucket ασφαλίστηκε μετά τη δημοσιοποίηση της υπόθεσης, παραμένουν κρίσιμα ερωτήματα: για πόσο διάστημα τα δεδομένα ήταν εκτεθειμένα, αν υπάρχουν logs που δείχνουν ποιος τα προσέγγισε ή κατέβασε, και αν η εταιρεία θα ενημερώσει τους πληγέντες, όπως απαιτείται από τις ευρωπαϊκές και πολιτειακές αμερικανικές νομοθεσίες περί γνωστοποίησης παραβιάσεων. Μέχρι στιγμής, δεν έχει υπάρξει πειστική, επώνυμη ανάληψη ευθύνης από τη διοίκηση της εταιρείας.
Η υπόθεση αναδεικνύει δύο παράλληλους κινδύνους για τους Ευρωπαίους και Έλληνες ταξιδιώτες: αφενός, την ανεπαρκή κυβερνοασφάλεια τρίτων παρόχων που διαχειρίζονται εξαιρετικά ευαίσθητα έγγραφα ταυτοποίησης· αφετέρου, τη σύγχυση μεταξύ επίσημων κυβερνητικών sites και ιδιωτικών ιστοσελίδων, όπου πολλοί χρήστες φαίνεται να πλήρωσαν κατά λάθος υπηρεσία που δεν ήταν απαραίτητη. Οι αρχές στο Ηνωμένο Βασίλειο υπενθυμίζουν ότι οι αιτήσεις για ETA και βίζες πρέπει να γίνονται απευθείας από το επίσημο κυβερνητικό portal.
Σχόλιο 
: Το περιστατικό επιβεβαιώνει ότι η αλυσίδα προστασίας προσωπικών δεδομένων σπάει συχνά στον πιο αδύναμο, ιδιωτικό κρίκο. Για Έλληνες πολίτες που ταξιδεύουν ή επενδύουν σε διεθνή μετακινήσιμα προγράμματα, η υπόθεση είναι προειδοποίηση: χρήση μόνο επίσημων κρατικών καναλιών, αυστηρός έλεγχος σε ποιον εμπιστευόμαστε διαβατήρια και βιομετρικά, και αυξανόμενη πίεση προς τις ρυθμιστικές αρχές να επιβάλλουν πραγματικές κυρώσεις σε εταιρείες που αντιμετωπίζουν τα δεδομένα ταυτότητας ως φθηνό ψηφιακό εμπόρευμα.
#κυβερνοασφάλεια #προσωπικάΔεδομένα #ΗνωμένοΒασίλειο #βίζα #UKVisaPortal
