英国签证门户网站曝光了数千名申请人的护照和自拍照，然后请了律师来对付我们

据TechCrunch获悉，一个名为“英国签证门户”的网站公开曝光了数千张护照和自拍照，这些申请人是通过该网站付费获得英国移民签证的。

一位匿名人士向TechCrunch通报了安全漏洞，称该网站泄露了至少100,000份文件，这些文件来自在申请过程中将护照和自拍照上传到网站的人们。

该网站不隶属于英国政府，一些人抱怨说他们错误地向该公司支付了费用，而不是使用GOV.UK官方网站。

在我们发布有关该事件的最初报道几个小时后，暴露的数据一直持续到周三。鉴于暴露数据的高度敏感性质，TechCrunch透露存在持续的安全问题，同时隐瞒了具体细节，以尽量减少个人私人信息的任何额外风险。

TechCrunch尚未收到英国签证门户管理层的回复。当我们联系我们时，该公司并没有解决问题，而是派了律师和公关公司来解决问题。

此次安全漏洞是最近几周公司公开暴露客户政府颁发的敏感身份证件的最新例子，其原因往往是配置错误而不是外部网络攻击。由于各国政府推出了年龄验证法，在世界各地在线身份检查日益增多的情况下，护照的暴露问题尤其严重。

该公司缺乏回应也留下了一个悬而未决的问题：是否会提醒受影响的客户他们的护照被公开曝光，或者据美国各州和欧洲数据泄露通知法的要求通知监管机构。

暴露的护照、自拍照和位置数据

数据泄露源于公共Amazon托管的存储服务器（也称为存储桶），英国Visa Portal使用该存储服务器托管用户上传的护照和自拍照。

虽然该存储桶没有公开列出其内容，但任何知道每个文件网址的人仍然可以访问和查看其中的文件。向我们通报此事的人士表示，英国签证门户网站后端的一个错误使他们能够查看存储桶中包含的文件列表。

TechCrunch确认英国签证门户网站（也称为UK Visit和ETA-Pass）是数据泄露的来源，并通过联系受影响的个人询问其信息是否准确来验证泄露数据的真实性。

许多用户上传的照片还包含精确的现实位置，揭示了图像的拍摄地点；在某些情况下，该位置数据足够准确，足以暴露图像拍摄者的家庭住址。

UK Visa Portal不提供通过其网站报告安全问题的方式，其网站也不提供公司管理层的姓名或联系信息。 TechCrunch向英国签证门户网站上列出的电子邮件地址发送了一封电子邮件，提醒他们该公司存在持续的安全漏洞，并询问我们可以与管理层中的哪些人分享详细信息以解决该问题。 TechCrunch解释说，我们无法与公司的一般客户支持收件箱分享具体信息，因为我们无法保证暴露的数据不会被滥用。

客户支持人员向TechCrunch提供了Michael Taylor的姓名和电子邮件地址，我们被告知他是UK Visa Portal的经理。该人没有回复我们的询问。

不久之后，美国律师事务所BakerHostetler的律师和公关公司FTI Consulting的代表联系了TechCrunch，在UK Visa Portal上寻求有关该问题的信息。当TechCrunch要求时，律师不会提供证据证明他们被授权代表公司发言，例如向我们提供公共记录，确认他们声称代表的个人的姓名和角色。我们再次指出，我们无法在公司管理层之外分享有关安全漏洞的信息。

我们补充说，如果泰勒或其他经理愿意接受有关安全漏洞的信息，他们可以联系我们，或者律师可以将它们复制到电子邮件中。我们没有收到回复。

在我们的故事发表并确保水桶安全后，TechCrunch向律师提出了一系列有关安全漏洞的问题。我们向BakerHostetler合作伙伴Ryan Christian询问的问题包括Amazon托管的存储桶暴露了多长时间、暴露的原因以及该公司是否有任何日志来确定是否有人访问或下载了暴露的数据。我们还询问英国Visa Portal的网络安全负责人（如果有的话）。克里斯蒂安没有回应。

据称，英国Visa Portal由一家名为Active Leadgen LLC的公司运营，该公司自称是一家总部位于阿拉伯联合酋长国的公司。 TechCrunch无法独立证实这一点。

没有必要使用第三方服务来申请英国电子旅行授权，除非您聘请了移民律师，并且申请人应通过英国政府网站进行申请。

首次发布于5月26日，并更新了有关安全漏洞的更多信息。