Thought Leadership
Wer für eine britische Einreisegenehmigung bezahlt, vertraut dem Anbieter Passdaten und ein Selfie an. Beim Dienst UK Visa Portal landeten genau diese Dokumente auf einem frei zugänglichen Server, wie ein US-Medium berichtet.
Aufmerksam geworden ist das Magazin TechCrunch durch einen anonymen Hinweis. Nach dessen Angaben lagen mindestens 100.000 hochgeladene Dokumente offen. Es geht um Menschen, die im Rahmen ihres Antrags Pass und Selfie übermittelt hatten.
Mit der britischen Regierung hat der Anbieter nichts zu tun. Manche Nutzer berichteten laut TechCrunch, sie hätten die Gebühr versehentlich an diese Firma überwiesen, weil sie die offizielle Seite GOV.UK verwenden wollten. Nötig ist ein solcher Drittanbieter ohnehin nicht, abgesehen vom Fall, dass jemand einen Einwanderungsanwalt beauftragt. Der Antrag lässt sich direkt beim britischen Staat stellen.
Ein Speicher ohne Schutz
Verantwortlich war kein Angriff von außen, sondern ein offen konfigurierter Amazon-Speicher (ein Bucket), auf dem die Firma die Uploads ablegt. Ein klassisches Datenleck also. Der Bucket gab seinen Inhalt zwar nicht als Liste preis, doch jede einzelne Datei ließ sich abrufen, sofern man ihre Adresse kannte. Genau diese Liste konnte der Hinweisgeber nach eigener Aussage über einen Fehler im Backend der Webseite doch noch einsehen.
Dass die Daten echt sind, prüfte TechCrunch durch Kontakt mit Betroffenen. Als Quelle identifizierte das Magazin UK Visa Portal, das auch unter den Namen UK Visit und ETA-Pass auftritt. Heikel ist ein weiteres Detail: In vielen Fotos steckten Standortinformationen. Sie zeigten, wo das Bild entstand, teils so genau, dass sich die Wohnadresse ableiten ließ.
Erst kamen die Anwälte, dann gar nichts mehr
Gesichert wurde der Speicher in der Nacht zum Mittwoch, einige Stunden nachdem der erste Bericht erschienen war. TechCrunch hatte das Problem öffentlich gemacht, technische Einzelheiten aber bewusst zurückgehalten, um die Betroffenen nicht zusätzlich zu gefährden.
Eine Stelle für Sicherheitsmeldungen sucht man auf der Webseite vergeblich, ebenso Namen oder Kontaktdaten der Verantwortlichen. Erst der allgemeine Support nannte den Namen eines Managers samt E-Mail-Adresse, geantwortet hat er aber nicht.
Stattdessen meldeten sich eine US-Kanzlei und eine PR-Firma und wollten ihrerseits wissen, worum es gehe. Belegen, dass sie für das Unternehmen sprechen durften, konnten die Anwälte auf Nachfrage nicht. TechCrunch blieb dabei, Details nur an die Geschäftsführung herauszugeben.
Auch den später nachgereichten Fragenkatalog ließ die Kanzlei unbeantwortet, etwa wie lange der Speicher offen war, warum das passierte, ob Zugriffe protokolliert wurden und wer überhaupt für die IT-Sicherheit zuständig ist.
Betrieben wird UK Visa Portal angeblich von der Firma Active Leadgen LLC mit Sitz in den Vereinigten Arabischen Emiraten. Unabhängig bestätigen konnte das Magazin das nicht. Und ob die Betroffenen überhaupt informiert werden oder die Aufsichtsbehörden eine Meldung erhalten, wie es US-amerikanisches und europäisches Recht verlangt, ist ebenfalls offen.
