Fałszywy portal wizowy do Wielkiej Brytanii ujawnił ponad 100 tys. paszportów i zdjęć użytkowników - Security Bez Tabu

Fałszywy portal wizowy do Wielkiej Brytanii ujawnił ponad 100 tys. paszportów i zdjęć użytkowników

Cybersecurity news

Wprowadzenie do problemu / definicja

Incydent związany z fałszywym portalem wizowym pokazuje, jak poważnym zagrożeniem są nieoficjalne serwisy pośredniczące w procesach administracyjnych online. W tym przypadku doszło do ekspozycji bardzo wrażliwych danych osobowych, w tym skanów paszportów oraz selfie przesyłanych przez użytkowników podczas ubiegania się o dokumenty podróżne. Problem nie dotyczył oficjalnego systemu rządowego, lecz zewnętrznej platformy, która pobierała opłaty za pośrednictwo.

W skrócie

Nieoficjalny serwis oferujący pomoc w uzyskaniu brytyjskiego elektronicznego zezwolenia na podróż przechowywał dane użytkowników w publicznie dostępnym zasobie chmurowym. Ujawnione informacje obejmowały co najmniej 100 tys. dokumentów, w tym skany paszportów i fotografie twarzy. Dodatkowym problemem było to, że część zdjęć zawierała metadane geolokalizacyjne, które mogły ujawniać dokładne miejsce wykonania fotografii. Po zgłoszeniu problemu reakcja operatora była opóźniona, a komunikacja koncentrowała się bardziej na obsłudze prawnej i PR niż na natychmiastowym ograniczeniu ryzyka.

Kontekst / historia

Portal przedstawiał się jako usługa wspierająca proces składania wniosków wizowych lub autoryzacji podróży do Wielkiej Brytanii. Tego typu serwisy często wykorzystują podobieństwo do oficjalnych stron administracji publicznej, aby wzbudzić zaufanie użytkowników i skłonić ich do przekazania danych identyfikacyjnych oraz dodatkowych opłat.

Według ujawnionych informacji platforma nie była częścią rządowej infrastruktury Wielkiej Brytanii. Mimo to z usługi skorzystały tysiące osób, przesyłając dokumenty tożsamości, zdjęcia oraz inne dane potrzebne do potwierdzenia tożsamości. Zgłoszenie problemu miało wskazywać, że zasób przechowujący pliki nie był poprawnie zabezpieczony, a osoby znające odpowiedni adres mogły uzyskać dostęp do dokumentów. Sytuacja nabrała dodatkowej wagi, gdy potwierdzono autentyczność części ujawnionych danych poprzez kontakt z osobami, których dokumenty znalazły się w wycieku.

Analiza techniczna

Najważniejszym elementem incydentu była błędna konfiguracja zasobu w chmurze, najprawdopodobniej magazynu obiektowego wykorzystywanego do przechowywania plików przesyłanych przez użytkowników. Tego rodzaju środowiska są powszechnie stosowane do obsługi dokumentów, zdjęć i załączników, jednak ich bezpieczeństwo zależy od poprawnej konfiguracji polityk dostępu.

W opisanym przypadku zasób nie musiał publicznie indeksować pełnej listy plików, aby stanowić zagrożenie. Wystarczyło, że pliki były osiągalne po bezpośrednich adresach URL. Jeśli dodatkowo aplikacja backendowa zawierała błąd umożliwiający podgląd nazw lub ścieżek do obiektów, atakujący mógł przejść od częściowego dostępu do pełnej ekspozycji danych.

Z technicznego punktu widzenia jest to klasyczny przykład połączenia dwóch problemów:

  • błędnej konfiguracji magazynu danych w chmurze,
  • niewystarczającej kontroli dostępu w warstwie aplikacyjnej.

Szczególnie niebezpieczny był charakter przechowywanych danych. Skany paszportów zawierają pełne dane identyfikacyjne, numery dokumentów, daty urodzenia i obywatelstwo. Zdjęcia twarzy mogą być używane do oszustw związanych z potwierdzaniem tożsamości. Jeżeli fotografie zachowały metadane EXIF z informacją GPS, incydent wykracza poza zwykły wyciek dokumentów i obejmuje również ujawnienie potencjalnego adresu zamieszkania lub lokalizacji użytkownika.

Brak szybkiej i transparentnej odpowiedzi ze strony operatora utrudnia także ocenę skali zdarzenia. Bez logów dostępu, retencji zdarzeń i analizy pobrań nie sposób jednoznacznie ustalić, czy dane były wyłącznie wystawione, czy również masowo pobierane przez osoby nieuprawnione.

Konsekwencje / ryzyko

Ryzyko dla poszkodowanych jest wysokie. Ujawnione dane mogą zostać wykorzystane do:

  • kradzieży tożsamości,
  • zakładania fałszywych kont finansowych i telekomunikacyjnych,
  • obchodzenia procedur KYC,
  • ataków socjotechnicznych ukierunkowanych na konkretne osoby,
  • tworzenia wiarygodnych zestawów danych do phishingu i spear-phishingu,
  • prób obejścia systemów weryfikacji opartych na dokumentach i obrazie twarzy.

Połączenie numeru paszportu, wizerunku twarzy i potencjalnej lokalizacji geograficznej znacząco zwiększa wartość danych na cyberprzestępczym rynku. Dla wielu organizacji taki pakiet informacji jest znacznie bardziej niebezpieczny niż sam adres e-mail czy numer telefonu.

Incydent niesie także istotne ryzyko systemowe. Użytkownicy coraz częściej przechodzą procesy identyfikacyjne online, a dane biometryczne i dokumenty są traktowane jako standard. Oznacza to, że wyciek z jednego pozornie pomocniczego serwisu może mieć długofalowe skutki w wielu innych usługach, od bankowości po usługi publiczne.

Rekomendacje

Dla użytkowników końcowych najważniejsze jest korzystanie wyłącznie z oficjalnych portali administracji publicznej i unikanie zewnętrznych pośredników, jeśli nie są one wyraźnie autoryzowane. W przypadku podejrzenia ujawnienia danych należy rozważyć monitorowanie prób wykorzystania tożsamości, wymianę dokumentu, jeśli to możliwe, oraz zwiększoną ostrożność wobec wiadomości podszywających się pod urzędy, linie lotnicze lub instytucje finansowe.

Dla operatorów serwisów przetwarzających dokumenty tożsamości kluczowe są następujące działania:

  • wdrożenie zasady najmniejszych uprawnień dla zasobów chmurowych,
  • całkowite zablokowanie publicznego dostępu do magazynów obiektowych,
  • stosowanie czasowych, podpisywanych adresów URL zamiast stałych publicznych ścieżek,
  • walidacja i autoryzacja dostępu do każdego pliku po stronie aplikacji,
  • usuwanie metadanych EXIF z przesyłanych obrazów,
  • pełne logowanie operacji odczytu, pobrania i modyfikacji obiektów,
  • regularne audyty konfiguracji chmury oraz testy penetracyjne backendu,
  • wdrożenie procesów szybkiego reagowania na zgłoszenia bezpieczeństwa.

Organizacje powinny także posiadać formalny kanał przyjmowania zgłoszeń o podatnościach oraz procedurę natychmiastowego triage. W praktyce oznacza to, że priorytetem po otrzymaniu wiarygodnego zgłoszenia powinno być ograniczenie ekspozycji danych, a dopiero później działania komunikacyjne i prawne.

Podsumowanie

Incydent z fałszywym portalem wizowym jest przykładem, jak niebezpieczne może być łączenie wrażliwych procesów tożsamościowych z niezweryfikowanymi usługami pośredniczącymi oraz źle zabezpieczoną infrastrukturą chmurową. Ujawnienie ponad 100 tys. skanów paszportów i zdjęć użytkowników pokazuje, że nawet pozornie prosty błąd konfiguracyjny może prowadzić do poważnego naruszenia prywatności i bezpieczeństwa. Dla branży cyberbezpieczeństwa to kolejny sygnał, że ochrona danych tożsamościowych wymaga nie tylko odpowiednich technologii, ale także dojrzałych procedur reagowania, transparentności i odpowiedzialności operatora.

Źródła

  1. Security Affairs — https://securityaffairs.com/192809/security/a-fake-uk-visa-site-left-100000-passports-wide-open-then-sent-lawyers-instead-of-a-fix.html
  2. TechCrunch — https://techcrunch.com/
  3. Amazon Web Services — Amazon S3 security best practices — https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html
  4. OWASP — File Upload Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html
  5. OWASP — Secure Cloud Architecture Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet.html