仿英國ETA簽證申請的代辦網站外洩10萬護照AWS儲存桶配置錯誤
第三方付費簽證代辦網站「UK Visa Portal」因 AWS S3 儲存桶配置錯誤,導致至少 10 萬份申請人護照掃描檔與自拍照暴露於可公開存取的網路上。
技術根因
- AWS S3 儲存桶配置錯誤:儲存桶未公開列出內容清單,但只要知道個別檔案 URL,任何人都能直接存取
- 網站後端存在弱點,攻擊者可藉此獲取儲存桶完整檔案清單
- 照片 Metadata 含嵌入式 GPS 座標,可能暴露申請人住家地址
業者應對爭議
事件通報後,業者未第一時間積極修復漏洞,反而指派 BakerHostetler 律師事務所與公關公司 FTI Consulting 出面交涉,引發批評。
背景
英國自 2026 年起全面擴大 ETA(電子旅行授權)實施範圍,網路上充斥仿冒政府官網的第三方代辦網站,這類網站資安防護水準參差不齊。
防範建議
赴英旅客應直接使用英國政府官網 GOV.UK ETA 線上申請系統或官方「UK ETA」App。
來源文章
相關頁面
- aws — 雲端儲存平台(S3 儲存桶配置錯誤)