- Um site de terceiros do UK Visa Portal carregou 100.000 documentos em um repositório de nuvem inseguro
- Os cibercriminosos com acesso a PII móveis podem realizar roubo de identidade ou fraude
- As vítimas são aconselhadas a proteger suas contas e monitorar e aguardar notificações
O Portal Visa do Reino Unido, um site de terceiros separado da oferta oficial do governo, teria deixado milhares de documentos confidenciais expostos em um grande vazamento de dados.
Os documentos e detalhes afetados incluem passaportes, fotos, verificação automatizada e outros dados de aplicativos, deixando as vítimas expostas ao roubo de identidade e possíveis fraudes financeiras.
Descobriu-se que os resultados dos documentos foram armazenados em um servidor seguro, sem proteção por senha, que qualquer pessoa poderia acessar e visualizar por meio de um link direto.
Solicitações do Portal de Visto do Reino Unido publicadas
O vazamento de dados foi aparentemente causado por um repositório de armazenamento em nuvem desfigurado que era completamente público – mas pior do que isso, também foi revelado que o arquivo de índice do dispositivo usava previsão de URL, o que significa que os invasores poderiam facilmente adivinhar ou descobrir o link, mesmo que não o tivessem em primeiro lugar.
Obviamente, as páginas principais do passaporte incluíam nomes completos, números de passaporte, países, datas de nascimento, locais de nascimento e datas de entrada e saída, mas os documentos que acompanhavam forneciam aos invasores endereços residenciais, números de contato, endereços de e-mail e mais PII.
TechCrunch relatórios de pelo menos 100.000 documentos estavam disponíveis sem restrições e, em 26 de maio de 2026, o problema ainda não havia sido resolvido.
Muitas vítimas provavelmente acessaram por engano um site de terceiros, acreditando que esta era a maneira correta de obter uma autorização de viagem eletrônica – um processo que o governo do Reino Unido oferece internamente por uma taxa de £ 20.
Os indivíduos que usaram a plataforma são aconselhados a monitorar e proteger as contas e a proteger as contas online com camadas adicionais, como autenticação multifatorial e chaves de acesso. As leis de protecção de dados também exigem legalmente que os indivíduos notifiquem os seus contactos – não está claro se o contacto já foi feito.
Siga o TechRadar no Google Notícias e adicione-nos para encomendar a primavera para obter notícias, análises e opiniões de especialistas em seu feed.
