في واقعة أمنية مقلقة جديدة، تعرض موقع UK Visa Portal – وهو موقع تابع لجهة خارجية وغير مرتبط بالحكومة البريطانية – لخرق هائل كشف بيانات آلاف المتقدمين للحصول على تأشيرة المملكة المتحدة. وأظهر تحقيق أجراه موقع TechCrunch أن الموقع ترك جوازات السفر وصور السيلفي، بل وبيانات المواقع الجغرافية للمستخدمين، مكشوفة لأي شخص يعرف الرابط الصحيح للملفات المخزنة على خوادم Amazon السحابية.
ماذا حدث تحديداً؟
بحسب المعلومات الموثقة، قام الموقع بتخزين صور وثائق الهوية في حاوية (bucket) على خدمة Amazon S3 كانت مهيأة بشكل خاطئ. بالرغم من أن المحتوى لم يكن مُفهرساً للعموم، إلا أن أي شخص يعرف عنوان الملف يستطيع الوصول إليه مباشرة دون أي حماية. كما أبلغ أحد المخبرين TechCrunch بوجود ثغرة برمجية في الموقع تسمح بعرض قائمة كاملة بالملفات المخزنة. وقد قدر عدد الوثائق المكشوفة بما لا يقل عن 100 ألف وثيقة تشمل جوازات سفر وصور السيلفي مرفوعة كجزء من عملية التقديم.
بيانات حساسة مكشوفة
لم تكن البيانات مجرد صور عادية؛ بل تضمنت جوازات السفر التي يمكن استخدامها لسرقة الهوية، وصور السيلفي المطلوبة للتحقق من الهوية، والأخطر من ذلك بيانات الموقع الجغرافي (EXIF) المضمنة في الصور والتي كشفت في بعض الحالات عنوان المنزل الدقيق لمقدم الطلب. ويأتي هذا الخرق في وقت تتزايد فيه قوانين التحقق من العمر والهوية عبر الإنترنت، مما يجعل هذه التسريبات أكثر خطورة.
رد الشركة: محامون بدلاً من إصلاح الثغرة
بدلاً من التعاون مع فريق TechCrunch لإصلاح الثغرة وإخطار المتضررين، لجأت الشركة التي تدير الموقع – التي تدّعي أنها مسجلة في الإمارات باسم Active Leadgen LLC – إلى محاميي مكتب BakerHostetler وشركة العلاقات العامة FTI Consulting. وعندما طلب الفريق التحقق من تفويض المحامين بالتحدث باسم الإدارة، لم يقدموا أي دليل. وحتى بعد نشر القصة وتأمين الحاوية، لم ترد الشركة على أسئلة مثل مدة تعرض البيانات، وما إذا كان أحد قد تمكن من تنزيل الملفات، ومن المسؤول الأمني في الشركة.
ماذا يعني هذا للمستخدم العربي؟
للأسف، يظهر هذا الحادث أن بعض المستخدمين يقعون ضحية مواقع خارجية تقدم خدمات التأشيرة مقابل رسوم، معتقدين أنها تابعة للحكومة. والحقيقة أن التقديم للتأشيرة البريطانية (ETA) لا يحتاج إلى وسيط إلا إذا كنت تستعين بمحامي هجرة رسمي. لذلك، يجب على كل متقدم التأكد من استخدام الموقع الرسمي للمملكة المتحدة GOV.UK فقط. فقد تلقى الموقع شكاوى عديدة على Reddit من أشخاص دفعوا رسوماً دون الحصول على الخدمة المطلوبة. هذه الحادثة ليست الأولى من نوعها في تسريب وثائق حكومية عبر الإنترنت بسبب أخطاء في التهيئة، لكن غياب أي استجابة مسؤولة يجعل الموقف أكثر خطورة.
ماذا بعد؟
حتى الآن، لا يزال من غير الواضح ما إذا كان الموقع أبلغ المتضررين في الدول العربية أو أي جهة أخرى، رغم أن قوانين حماية البيانات في الاتحاد الأوروبي وبعض الولايات الأمريكية تفرض إخطاراً فورياً. ونظراً لأن الموقع يستهدف متقدمين دوليين، فمن المحتمل أن يكون عدد من الضحايا من المواطنين العرب. لذا، أي شخص استخدم UK Visa Portal أو UK Visit أو ETA-Pass يجب عليه مراقبة أي استخدام غير مصرح به لهويته، والتواصل مع الجهات الرسمية المختصة.
التطبيقات والروابط الرسمية
- الموقع الرسمي للتأشيرة البريطانية GOV.UK – يجب استخدامه فقط لتقديم طلب ETA.
- مناقشة المستخدمين على Reddit حول شرعية الموقع – دليل على مخاوف سابقة.
- شكوى أخرى على Reddit – حالات دفع رسوم دون خدمة.
- لقطة من موقع UK Visa Portal – للتوثيق.
- لقطة من موقع UK Visit – اسم آخر لنفس الخدمة.
- لقطة من موقع ETA-Pass – اسم آخر محتمل.
في النهاية، هذه القصة ليست مجرد خطأ تقني، بل تحذير صارخ للمستخدمين في العالم العربي وأوروبا من التعامل مع مواقع غير رسمية، خاصة عندما يتعلق الأمر بوثائق هوية حساسة. إذا كنت بحاجة لتأشيرة، اذهب إلى المصدر الرسمي فقط ولا تدفع لأي وسيط غير معتمد.
روابط مذكورة في المصدر
- some
- governments rolling out age verification laws
- cybersecurity
- data exposure
- Exclusive
- Security
- we may earn a small commission
- this week in security
- View Bio
- REGISTER NOW
- Tech CEOs are apparently suffering from AI psychosis
المصدر: TechCrunch