Falha de segurança expõe dados sensíveis de milhares de solicitantes de visto britânicos
Uma grave falha de segurança no site UK Visa Portal resultou na exposição pública de milhares de passaportes e selfies de indivíduos que buscavam autorização para entrar no Reino Unido. A vulnerabilidade, que colocou em risco pelo menos 100 mil documentos de identidade, foi identificada após notificação anônima.
É importante ressaltar que o UK Visa Portal não possui qualquer vínculo oficial com o governo britânico. Usuários relataram, inclusive em fóruns como o Reddit, que pagaram taxas à plataforma acreditando tratar-se do canal legítimo, quando deveriam ter utilizado o portal oficial GOV.Reino Unido.
Origem do vazamento e dados comprometidos
O incidente ocorreu devido a uma configuração restrita em um servidor de armazenamento na Amazon (bucket). Embora o conteúdo não tenha sido indexado publicamente, os arquivos eram acessíveis a qualquer pessoa que possuísse o link direto. Uma falha no backend do site permitiu a listagem dos arquivos, expondo fotos de documentos e selfies dos solicitantes.
A situação é agravada pelo fato de que muitas das imagens continham metadados de localização precisos. Em diversos registros, era possível identificar coordenadas geográficas que revelavam o endereço residencial dos usuários. A infecção dos dados expostos foi ocasionada por meio de contato direto com algumas pessoas afetadas.
Postura da empresa e silêncio administrativo
Após uma notificação de falha, o acesso aos dados foi restrito na noite de quarta-feira. No entanto, a gestão do UK Visa Portal, que opera sob nomes como UK Visit e ETA-Pass, manteve uma postura opaca. Em vez de colaborar com a resolução técnica, a organização mobilizou advogados do escritório americano BakerHostetler e consultores de relações públicas da FTI Consulting para interagir com a imprensa.
Questionados sobre a extensão do vazamento, o tempo de exposição e a existência de responsáveis pela cibersegurança, os representantes legais não forneceram esclarecimentos. Não há, até o momento, confirmação se os usuários impactados serão notificados ou se as autoridades reguladoras na Europa e nos Estados Unidos serão informadas, conforme desativar as leis de proteção de dados.
- Empresa responsável: Active Leadgen LLC (sede alegada nos Emirados Árabes Unidos).
- Riscos: Exposição de passaportes, selfies e endereços residenciais.
- Recomendação: Utilize sempre o canal oficial GOV.Reino Unido para transferências de imigração.
Este caso reforça o perigo crescente da exposição de documentos de identidade online, especialmente num cenário onde leis de verificação de idade impulsionam a digitalização de dados sensíveis. O silêncio da administração do portal levanta dúvidas críticas sobre a segurança das informações que continuam sob custódia da empresa.
Atualizado em 26 de maio.
Com informações do Techcrunch



