What personal information did the fraudulent UK visa site collect and expose?

It collected passport scans, facial photographs (selfies), and geolocation data from at least 100,000 users.

How was the sensitive data stored so insecurely?

The data was placed on a publicly accessible Amazon AWS server with no password, authentication, or access controls, allowing anyone with the direct URL to browse or download the files.

Who operated the fake visa portal?

The fraudulent website was operated by a company registered in the UAE, creating significant jurisdictional challenges for victims seeking recourse.

What makes travelers especially vulnerable to these types of scam sites?

The urgency of visa applications, tight travel deadlines, unfamiliarity with official government web platforms, and discovery through paid ads or social media posts make travelers more likely to trust convincing fake sites.

What are the main risks for those whose documents were exposed?

Exposed passport scans and selfies can be used for identity fraud, financial account fraud, or creating counterfeit travel documents, putting victims at serious risk of identity theft.

Lažna stranica za britanske vize otkrila 100.000 putovnica na AWS-u

Lažna web stranica koja se predstavljala kao službeni portal za britanske vize ostavila je skenirane putovnice i selfije najmanje 100.000 korisnika na javno dostupnom poslužitelju Amazon AWS, bez ikakve smislene kontrole pristupa. Stranicom je upravljala tvrtka registrirana u UAE-u, a podaci koje je prikupljala, uključujući osjetljive identifikacijske dokumente i podatke o geolokaciji, bili su otvoreni svakome tko je znao gdje tražiti. Ovo izlaganje identiteta putem lažnog vladinog portala za vize oštar je podsjetnik koliko je opasno slati biometrijske dokumente neprovjerenim internetskim platformama.

Što je lažna stranica za britanske vize prikupljala i ostavila izloženo

Lažni portal prikupljao je upravo onu vrstu podataka koju zahtijevaju legitimni procesi izdavanja viza: skenirane putovnice, fotografije lica (selfije) i podatke o geolokaciji. Oponašajući izgled i jezik službene usluge britanske vlade, stranica je uvjerila desetke tisuća korisnika da dobrovoljno učitaju neke od svojih najosjetljivijih osobnih dokumenata.

Jednom prikupljeni, ti su podaci pohranjeni na Amazon AWS poslužitelju konfiguriranom za javni pristup. Nije bilo zaštite lozinkom, sloja autentifikacije niti vidljivog pokušaja da se spremnik osigura nakon što je izlaganje otkriveno. To znači da je svatko s izravnim URL-om mogao slobodno pregledavati ili preuzimati datoteke, stvarajući golem potencijal za krađu identiteta, prijevaru i krivotvorenje dokumenata.

Činjenica da je operater bio registriran u UAE-u dodaje dodatni sloj složenosti. Žrtve koje traže pravni lijek ili brisanje podataka suočavaju se sa značajnim pravnim preprekama, a nema jamstva da su podaci u potpunosti uklonjeni ili uništeni.

Tko je u opasnosti i kako je lažna stranica djelovala

Žrtve su ovdje putnici i podnositelji zahtjeva za vize koji su vjerovali onome što se činilo kao legitimna usluga povezana s vladom. Lažni portali za vize poput ovog obično se pojavljuju putem plaćenih oglasa na tražilicama, obmanjujućih objava na društvenim mrežama ili poveznica dijeljenih na forumima za putovanja i u Facebook grupama. Dizajnirani su da izgledaju autoritativno, često koristeći službene grbove, sheme boja i birokratski jezik kako bi spustili oprez korisnika.

Najugroženiji su ljudi koji nisu upoznati s time kako su službene usluge britanske vlade strukturirane na internetu, uključujući one koji prvi put putuju u inozemstvo, ljude koji se snalaze u složenim imigracijskim procesima na drugom jeziku i one koji stranicu otkriju putem poveznice treće strane, a ne preko reference koju je izdala vlada. Hitnost koja često prati zahtjeve za vize – kratki rokovi, nadolazeći datumi putovanja – stvara pritisak zbog kojeg se pažljiva provjera čini kao luksuz, a ne nužnost.

Za sve čiji su skenirana putovnica i selfie sada dio ovog izloženog skupa podataka, rizik nije samo teoretski. Ovi dokumenti dovoljni su za pokušaj krađe identiteta, otvaranje financijskih računa ili izradu krivotvorenih putnih isprava.

Zašto su putnici jedinstveno ranjivi na lažne vladine portale

Zahtjevi za vize zauzimaju posebno opasno mjesto na internetu. Proces je često zbunjujući, uključuje više legitimnih partnera trećih strana (poput centara za predaju zahtjeva za vize) i zahtijeva slanje vrlo osjetljivih dokumenata. Ta strukturna dvosmislenost daje prevarantima prostora za djelovanje.

Također vrijedi razumjeti šire mehanizme funkcioniranja shema prikupljanja identiteta. Kada vas stranica traži da učitate putovnicu i napravite selfie, ona provodi oblik biometrijske provjere identiteta, isti proces koji se danas koristi u sustavima za provjeru dobi i na platformama za financijske usluge. Kao što je objašnjeno u kako funkcionira online provjera dobi, ovi sustavi prikupljaju i pohranjuju vrlo osobne biometrijske podatke, što znači da predaja tih podataka neprovjerenom operateru, čak i onom koji izgleda službeno, može imati posljedice koje nadilaze pojedinačnu transakciju.

Putnici koji koriste javni Wi-Fi za ispunjavanje zahtjeva za vize suočavaju se s dodatnim rizikom. Čak i ako je stranica legitimna, slanje dokumenata preko nesigurne mreže izlaže te podatke presretanju. Ali kada je sama odredišna stranica lažna, problem postoji bez obzira na mrežu koju koristite.

Kako provjeriti službene stranice za vize i zaštititi svoje identifikacijske dokumente na internetu

Dobra vijest je da je provjera jednostavna kada znate što treba provjeriti. Evo koraka koje bi svaki putnik trebao poduzeti prije nego što pošalje bilo koji identifikacijski dokument putem interneta:

Pažljivo provjerite domenu. Sve službene usluge britanske vlade nalaze se na domenama koje završavaju s .gov.uk. Svaka stranica koja koristi varijaciju toga, poput .com, .org ili domenu sa spojnicom poput uk-visa-portal.com, treba se smatrati sumnjivom dok se ne dokaže suprotno.

Krenite od službenog izvora. Umjesto da kliknete poveznicu s rezultata pretraživanja ili objave na društvenim mrežama, upišite gov.uk izravno u svoj preglednik i navigirajte do odjeljka za vize od tamo. Plaćeni oglasi na tražilicama mogu i promoviraju lažne stranice.

Potražite politiku privatnosti i detalje o čuvanju podataka. Legitimni vladini portali i ovlašteni centri za predaju zahtjeva za vize objavljuju jasne informacije o tome kako obrađuju vaše podatke, gdje se pohranjuju i koliko se dugo čuvaju. Stranica koja preskače te informacije ili ih otežava pronaći znak je upozorenja.

Provjerite procesore trećih strana. Ako stranica tvrdi da je ovlašteni centar za predaju zahtjeva za vize, unakrsno provjerite njezin naziv s popisom objavljenim na službenoj web stranici britanske vlade. Ovlašteni centri su izričito navedeni i ne zahtijevaju da ih pronađete putem tražilice.

Koristite VPN na javnim mrežama. Ako morate obaviti bilo koji zadatak osjetljiv na identitet tijekom putovanja, VPN šifrira vašu vezu i sprječava presretanje vaših podataka na razini mreže. Ne štiti vas od lažne odredišne stranice, ali zatvara zasebnu i stvarnu ranjivost.

Što ovo znači za vas

Ako ste nedavno koristili web stranicu povezanu s britanskim vizama i niste sigurni je li bila službena, provjerite svoju potvrdu e-poštom. Legitimne usluge šalju korespondenciju s adrese .gov.uk ili imenovanog ovlaštenog partnera. Ako je vaša potvrda stigla s generičke domene ili od tvrtke koju ne možete provjeriti, razmislite o postavljanju upozorenja na prijevaru kod svoje banke i praćenju svog kreditnog izvješća.

Ovaj incident također služi kao šira lekcija o rizicima slanja biometrijskih podataka bilo kojoj neprovjerenoj platformi. Isti mehanizmi provjere identiteta koje iskorištavaju lažne stranice za vize danas su široko rasprostranjeni na internetu, od dobne granice do financijskog uključivanja. Razumijevanje kako zapravo funkcioniraju provjera identiteta i prikupljanje biometrijskih podataka bitan je kontekst za svakoga tko se od njega traži da preda skeniranu putovnicu ili selfie putem interneta.

Prije nego što bilo gdje na internetu pošaljete osjetljive dokumente, odvojite dvije minute da potvrdite da je stranica autentična. Taj mali korak najučinkovitija je dostupna zaštita i nijedna tehnologija ga ne zamjenjuje.