近日,科技媒體techcrunch揭露了一個名為「uk visa portal」的偽冒簽證服務平台存在嚴重的安全漏洞——其伺服器缺乏存取控制機制,導致至少十萬份包含申請人護照掃描件與生物特徵自拍照等敏感資料的文件完全公開可見。該網站並非由英國政府運營,而是由一家自稱提供「電子旅行許可(eta)申請協助」的第三方私人機構所經營。其網域名稱與視覺設計刻意模仿英國政府官方平台gov.uk,致使許多用戶誤以為該網站具備官方認證,進而支付高昂的服務費用並提交核心個人資訊。
據多位匿名舉報者及techcrunch的實地查證,用戶在該平台上上傳的護照影像、臉部照片及其他資料既未加密,也未受到妥善的存取控制;只需直接訪問基本url即可輕易查看與下載。記者隨機聯繫了數名受影響的申請人,確認其個人資訊確實在未獲任何通知的情況下遭洩露。進一步調查發現,該網站既無資料保護政策,也未公開其公司登記資訊、管理聯絡方式或漏洞回報機制,導致營運透明度幾乎為零。
techcrunch已透過官網所列的電子郵件地址向業者發出正式安全警報,明確要求與公司負責人直接溝通以提供技術細節。然而,回應來自一家聲稱代表該公司的法律事務所與公關公司,卻始終拒絕安排與高層管理人員會面。截至本報導發布時,相關漏洞仍未修復,相關風險仍在持續擴散。
鑑於洩露的資料包含高價值的生物特徵資訊,極易被用於身份盜用或詐騙,techcrunch目前選擇暫不披露具體技術細節,以避免可能的惡意濫用。同時,該媒體強調,英國電子旅行許可(eta)的申請全程免費,且必須透過官方gov.uk網站進行處理。除非有複雜的移民法律需求須委託持牌律師,否則公眾應避免使用任何第三方簽證服務平台。
