UK Vize Portal isimli bir web sitesi, teknik bir hata sonucu binlerce pasaport ve selfie fotoğrafını ifşa etti. Kullanıcılar, Birleşik Krallık göçmen vizesi almak için bu siteye ödeme yapmışlardı.
Anonim bir kişi, TechCrunch’a yaptığı bildirimde, web sitesinin başvuru sürecinde kullanıcıların pasaport ve selfie fotoğraflarını yükledikleri en az 100.000 belgenin ifşa edildiğini belirtti.
Bu web sitesi, Birleşik Krallık hükümetiyle ilişkilendirilmemektedir. Bazı kullanıcılar, yanlışlıkla bu şirkete ücret ödediğini belirtmiş ve resmi GOV.UK web sitesini kullanmadıklarından şikayet etmiştir.
İfşalanan veriler, olayla ilgili ilk haberimizi yayınlamamızın birkaç saat sonrasında, Çarşamba sabahı güvence altına alınmıştı. TechCrunch, ifşalanan verilerin hassasiyeti nedeniyle mevcut bir güvenlik sorunu olduğunu vurguladı fakat kişisel bilgilerin gizliliğini korumak amacıyla detayları sakladı.
UK Vize Portal yönetiminden hâlâ bir yanıt alınamadı. Şirket, sorunu düzeltmek yerine avukatlarını ve halkla ilişkiler firmalarını bizimle irtibata geçirdi.
Son haftalarda birçok şirket, genellikle bir dış siber saldırıdan ziyade yanlış yapılandırmalar sonucu müşterilerinin hassas hükümet belgelerini ifşa etti. Pasaportların ifşası, dünya genelinde çevrimiçi kimlik kontrollerinin artmasıyla özellikle sorunlu hale gelmiştir.
Şirketin yanıt vermemesi, etkilenen müşterilere pasaportlarının kamuya açık bir şekilde ifşa edildiği hakkında bilgi verilip verilmeyeceğine dair soruları gündeme getiriyor. Ayrıca, ABD eyaletleri ve Avrupa veri ihlali bildirim yasaları gereği, düzenleyicilere bildirimde bulunup bulunmayacakları da belirsizliğini koruyor.
İfşalanan Pasaportlar, Selfie ve Konum Verileri
Veri sızıntısı, UK Vize Portal’ın kullanıcıların yüklediği pasaportlar ve selfie fotoğraflarını barındırmak için kullandığı, halka açık bir Amazon depolama sunucusundan kaynaklandı.
Depolama sunucusu, içeriklerini halka açmamış olsa da, içerisindeki dosyalar doğru web adresini bilen herkes tarafından erişilebilir ve görüntülenebilir durumdaydı. UK Vize Portal web sitesindeki bir hata, bu sunucudaki dosyaların listesini görüntülemelerine olanak sağladı.
TechCrunch, UK Vize Portal’ın (aynı zamanda UK Visit ve ETA-Pass olarak da bilinir) veri sızıntısının kaynağı olduğunu doğruladı ve etkilenen bireylerle iletişime geçerek ifşalanan verilerin doğruluğunu kontrol etti.
Kullanıcı tarafından yüklenen birçok fotoğraf, görüntülerin nerede çekildiğine dair gerçek konum verilerini de içeriyordu. Bu konum verileri bazı durumlarda, görüntüyü çeken kişinin ev adresini ifşa edecek kadar doğruydu.
UK Vize Portal, web sitesi üzerinden güvenlik sorunlarını bildirme imkanı sunmamakta ve yönetim için herhangi bir isim veya iletişim bilgisi vermemektedir. TechCrunch, UK Vize Portal’ın web sitesi üzerinde yer alan e-posta adresine, sürekli bir güvenlik sorunu olduğunu ve konuyu çözmek için kiminle iletişime geçebileceğimizi bildiren bir e-posta gönderdi. TechCrunch, ifşalanan verilerin kötüye kullanılmayacağını garanti edemeyeceğimizden, bilgiyi şirketin genel müşteri destek e-posta kutusuyla paylaşamayacağımızı açıkladı.
Müşteri destek personeli, TechCrunch’a UK Vize Portal’ın yöneticisi olduğu söylenen Michael Taylor’ın adını ve e-posta adresini verdi. Ancak bu kişi, yanıt vermedi.
Kısa bir süre sonra, ABD’li hukuk firması BakerHostetler ve halkla ilişkiler firması FTI Consulting’den temsilciler, TechCrunch ile iletişime geçerek UK Vize Portal’daki sorun hakkında bilgi istedi. TechCrunch’a avukatlar, kendilerinin şirket adına konuşmak için yetkili olduklarını gösteren herhangi bir kanıt sunmadı. Yeniden belirttik ki, güvenlik açığı hakkında bilgileri yalnızca şirket yönetimiyle paylaşabiliyoruz.
Taylor veya başka bir yönetici, güvenlik açığıyla ilgili bilgileri almak isterse bizimle iletişime geçebilir ya da avukatlar bu e-posta dizisine kopyalayabilir. Ancak geri dönüş olmadı.
Haberimiz yayınlandıktan ve depolama alanı güvenceye alındıktan sonra, TechCrunch avukatlara güvenlik açığıyla ilgili bir dizi soru yöneltti. Sorduğumuz sorular arasında Amazon depolama alanının ne kadar süreyle ifşa edildiği, neden ifşa olduğu ve herhangi birinin bu verilere erişip erişmediğini belirlemek için loglarının olup olmadığı vardı. Ayrıca, UK Vize Portal’da siber güvenlikten kimin sorumlu olduğu sorusunu da ilettik. Christian, bu sorulara yanıt vermedi.
UK Vize Portal’ın, Birleşik Arap Emirlikleri merkezli olduğu iddia edilen Active Leadgen LLC adlı bir şirket tarafından işletildiği öne sürülmekte. TechCrunch, bunun bağımsız olarak doğrulayamadı.
Birleşik Krallık elektronik seyahat yetkililiği için başvurmak üzere üçüncü şahıs bir hizmetin kullanılması gerekmez. Geçerli bir göçmenlik avukatı tutmadığınız sürece, başvuruların Birleşik Krallık hükümetinin web sitesi üzerinden yapılması gerekmektedir.
Bu haber ilk olarak 26 Mayıs’ta yayınlandı ve güvenlik açığı ile ilgili ek bilgilerle güncellendi.
Makale içerisindeki bağlantılara tıklayarak yapacağınız alışverişlerden küçük bir komisyon kazanabiliriz. Bu, editoryal bağımsızlığımızı etkilemez.
