Mitä henkilökohtaisia tietoja väärennetty Britannian viisumisivusto keräsi ja paljasti?

Se keräsi passiskannauksia, kasvokuvia (selfieitä) ja sijaintitietoja vähintään 100 000 käyttäjältä.

Miten arkaluonteiset tiedot säilytettiin niin turvattomasti?

Tiedot oli laitettu julkisesti saatavilla olevalle Amazon AWS -palvelimelle ilman salasanaa, todennusta tai pääsynhallintaa, jolloin kuka tahansa suoran URL-osoitteen omaava pystyi selaamaan tai lataamaan tiedostot.

Kuka väärennettyä viisumiportaalia pyöritti?

Väärennettyä verkkosivustoa pyöritti Arabiemiraatteihin rekisteröity yritys, mikä loi merkittäviä lainkäytöllisiä haasteita oikeutta hakeville uhreille.

Mikä tekee matkustajista erityisen alttiita tämänkaltaisille huijaussivustoille?

Viisumihakemusten kiireellisyys, tiukat matkamääräajat, virallisten viranomaisten verkkoalustojen tuntemattomuus sekä löytyminen maksettujen mainosten tai sosiaalisen median julkaisujen kautta saavat matkustajat todennäköisemmin luottamaan vakuuttaviin väärennettyihin sivustoihin.

Mitkä ovat tärkeimmät riskit niille, joiden asiakirjat paljastuivat?

Paljastuneita passiskannauksia ja selfieitä voidaan käyttää identiteettipetokseen, taloustilipetokseen tai väärennettyjen matkustusasiakirjojen luomiseen, mikä asettaa uhrit vakavaan identiteettivarkauden riskiin.

Väärennetty Britannian viisumisivusto paljasti 100 000 passia AWS:ssä

Väärennetty verkkosivusto, joka esiintyi virallisena Britannian viisumiportaalina, jätti vähintään 100 000 käyttäjän passiskannaukset ja selfiet julkisesti saatavilla olevalle Amazon AWS -palvelimelle ilman minkäänlaisia todellisia pääsynhallintakeinoja. Sivustoa pyöritti Arabiemiraatteihin rekisteröity yritys, ja sen keräämät tiedot, mukaan lukien arkaluonteiset henkilöllisyysasiakirjat ja sijaintitiedot, olivat avoimesti kaikkien niiden nähtävillä, jotka tiesivät mistä etsiä. Tämä väärennetyn viranomaisviisumiportaalin identiteettitietovuoto on karu muistutus siitä, kuinka vaarallista biometristen asiakirjojen luovuttaminen vahvistamattomille verkkoalustoille on.

Mitä väärennetty Britannian viisumisivusto keräsi ja jätti näkyville

Väärennetty portaali keräsi juuri sellaista tietoa, jota oikeat viisumiprosessit edellyttävät: passiskannauksia, kasvokuvia (selfieitä) ja sijaintitietoja. Jäljittelemällä virallisen Britannian viranomaisen palvelun ulkoasua ja kieltä sivusto sai kymmenet tuhannet käyttäjät lataamaan vapaaehtoisesti joitakin arkaluonteisimpia henkilökohtaisia asiakirjojaan.

Kun tiedot oli kerätty, ne tallennettiin Amazon AWS -palvelimelle, joka oli asetettu julkiseen käyttöön. Siellä ei ollut salasanasuojausta, todennuskerrosta eikä mitään ilmeistä yritystä turvata säiliötä altistumisen havaitsemisen jälkeen. Tämä tarkoittaa, että kuka tahansa, jolla oli suora URL-osoite, olisi voinut selata tai ladata tiedostoja vapaasti, mikä loi valtavan potentiaalin identiteettivarkauksiin, petoksiin ja asiakirjojen väärentämiseen.

Se, että toimija oli rekisteröity Arabiemiraateissa, lisää toisen mutkikkuuden kerroksen. Uhreilla, jotka hakevat oikeudellista korvausta tai tietojen poistamista, on edessään merkittäviä lainkäytöllisiä esteitä, eikä ole takeita siitä, että tiedot on kokonaan poistettu tai tuhottu.

Kuka on vaarassa ja miten huijaussivusto toimi

Tässä uhreina ovat matkustajat ja viisuminhakijat, jotka luottivat siihen, mikä vaikutti lailliselta viranomaislähteeseen liittyvältä palvelulta. Tämänkaltaiset huijausviisumiportaalit nousevat tyypillisesti pintaan maksettujen hakumainosten, harhaanjohtavien sosiaalisen median julkaisujen tai matkailufoorumeilla ja Facebook-ryhmissä jaettujen linkkien kautta. Ne on suunniteltu näyttämään arvovaltaisilta, ja niissä käytetään usein virallisia vaakunoita, värimaailmoja ja byrokraattista kieltä käyttäjän varuillaanolon hälventämiseksi.

Suurimmassa vaarassa ovat ne, jotka eivät tunne sitä, miten Britannian viralliset viranomaispalvelut on verkossa järjestetty, mukaan lukien ensikertaa matkustavat kansainväliset matkailijat, ihmiset, jotka navigoivat monimutkaisissa maahanmuuttoprosesseissa vieraalla kielellä, sekä ne, jotka löytävät sivuston kolmannen osapuolen linkin eikä viranomaisen antaman viittauksen kautta. Viisumihakemuksiin usein liittyvä kiireellisyys, tiukat määräajat, lähestyvät matkapäivät luovat painetta, joka saa huolellisen varmistuksen tuntumaan ylellisyydeltä eikä välttämättömyydeltä.

Kenelle hyvänsä, jonka passiskannaus ja selfie ovat nyt osa tätä paljastunutta tietoaineistoa, riski ei ole vain teoreettinen. Nämä asiakirjat riittävät identiteettipetoksen yrittämiseen, rahoitustilien avaamiseen tai väärennettyjen matkustusasiakirjojen luomiseen.

Miksi matkustajat ovat erityisen haavoittuvia väärennetyille viranomaisportaaleille

Viisumihakemukset sijoittuvat verkossa erityisen vaaralliseen tilaan. Prosessi on usein sekava, siihen liittyy useita laillisia kolmannen osapuolen yhteistyökumppaneita (kuten viisumihakukeskusten), ja se edellyttää erittäin arkaluonteisten asiakirjojen toimittamista. Tämä rakenteellinen monitulkintaisuus antaa huijareille tilaa toimia.

On myös syytä ymmärtää laajempia mekanismeja, joilla identiteetin keräysjärjestelmät toimivat. Kun sivusto pyytää sinua lataamaan passin ja ottamaan selfien, se suorittaa eräänlaista biometristä henkilöllisyyden todentamista, samaa prosessia, jota nykyisin käyttävät iänvarmennusjärjestelmät ja rahoituspalvelualustat. Kuten miten verkossa tapahtuva iänvarmennus toimii -artikkelissa selitetään, nämä järjestelmät tallentavat ja säilyttävät erittäin henkilökohtaisia biometrisiä tietoja, mikä tarkoittaa, että tietojen antamisella vahvistamattomalle toimijalle – vaikka tämä näyttäisi viralliselta – voi olla seurauksia, jotka kestävät pidempään kuin yksittäinen tapahtuma.

Matkustajat, jotka käyttävät julkista Wi-Fi-yhteyttä viisumihakemusten tekemiseen, kohtaavat kumuloituneen riskin. Vaikka sivusto olisi laillinen, asiakirjojen lähettäminen suojaamattoman verkon kautta altistaa tiedot sieppaukselle. Mutta kun kohdesivusto itsessään on väärennetty, ongelma on olemassa riippumatta siitä, mitä verkkoa käytät.

Miten viralliset viisumisivustot varmistetaan ja henkilöasiakirjat suojataan verkossa

Hyvä uutinen on, että varmistaminen on suoraviivaista, kun tietää mitä tarkistaa. Tässä ovat vaiheet, jotka jokaisen matkustajan tulisi tehdä ennen minkään henkilöllisyysasiakirjan lähettämistä verkossa:

Tarkista verkkotunnus huolellisesti. Kaikki viralliset Britannian hallituksen palvelut sijaitsevat .gov.uk-päätteisillä verkkotunnuksilla. Mitä tahansa tämän muunnosta käyttävää sivustoa, kuten .com, .org tai väliviivallinen verkkotunnus kuten uk-viisumiportaali.com, tulisi pitää epäilyttävänä, kunnes toisin todistetaan.

Aloita virallisesta lähteestä. Sen sijaan, että klikkaisit linkkiä hakutuloksesta tai sosiaalisen median julkaisusta, kirjoita gov.uk suoraan selaimeesi ja siirry sieltä viisumiosioon. Maksetut hakumainokset voivat mainostaa väärennettyjä sivustoja, ja niin tapahtuukin.

Etsi tietosuojaseloste ja tietojen säilyttämisen yksityiskohdat. Lailliset viranomaisportaalit ja valtuutetut viisumihakukeskukset julkaisevat selkeät tiedot siitä, miten ne käsittelevät tietojasi, missä niitä säilytetään ja kuinka kauan. Sivusto, joka jättää nämä tiedot pois tai tekee niiden löytämisestä vaikeaa, on varoitusmerkki.

Varmista kolmannen osapuolen käsittelijät. Jos sivusto väittää olevansa valtuutettu viisumihakukeskus, ristiintarkista sen nimi Britannian hallituksen virallisella verkkosivustolla julkaistua luetteloa vasten. Valtuutetut keskukset on lueteltu nimenomaisesti, eikä sinun tarvitse etsiä niitä hakukoneella.

Käytä VPN:ää julkisissa verkoissa. Jos sinun on pakko suorittaa jokin henkilöllisyyden kannalta arkaluonteinen tehtävä matkustaessasi, VPN salaa yhteytesi ja estää tietojesi sieppaamisen verkon tasolla. Se ei suojaa sinua siltä, jos kohdesivusto on väärennetty, mutta se poistaa erillisen ja todellisen haavoittuvuuden.

Mitä tämä tarkoittaa sinulle

Jos olet käyttänyt äskettäin Britannian viisumeihin liittyvää verkkosivustoa ja olet epävarma siitä, oliko se virallinen, tarkista sähköpostivahvistuksesi. Lailliset palvelut lähettävät viestit .gov.uk-osoitteesta tai nimetyltä valtuutetulta yhteistyökumppanilta. Jos vahvistuksesi tuli yleisluontoisesta verkkotunnuksesta tai yrityksestä, jota et pysty vahvistamaan, harkitse petosvaroituksen tekemistä pankkiisi ja luottotietojesi seurantaa.

Tämä tapaus toimii myös laajempana oppituntina biometristen tietojen minkä tahansa vahvistamattoman alustan lähettämisen riskeistä. Samat henkilöllisyyden todentamisen mekanismit, joita väärennetyt viisumisivustot käyttävät hyväkseen, ovat nyt laajalle levinneitä verkossa iänvarmennuksesta taloushallinnon perehdytykseen. Sen ymmärtäminen, miten henkilöllisyyden todentaminen ja biometristen tietojen keruu todella toimivat, on olennaista taustaa jokaiselle, jota pyydetään luovuttamaan passiskannaus tai selfie verkossa.

Ennen kuin lähetät arkaluontoisia asiakirjoja minnekään verkossa, käytä kaksi minuuttia varmistaaksesi, että sivusto on aito. Tämä pieni askel on tehokkain saatavilla oleva suoja, eikä mikään teknologia korvaa sitä.