仿英國ETA簽證申請的代辦網站外洩10萬護照AWS儲存桶配置錯誤

第三方付費簽證代辦網站「UK Visa Portal」因 AWS S3 儲存桶配置錯誤,導致至少 10 萬份申請人護照掃描檔與自拍照暴露於可公開存取的網路上。

技術根因

  • AWS S3 儲存桶配置錯誤:儲存桶未公開列出內容清單,但只要知道個別檔案 URL,任何人都能直接存取
  • 網站後端存在弱點,攻擊者可藉此獲取儲存桶完整檔案清單
  • 照片 Metadata 含嵌入式 GPS 座標,可能暴露申請人住家地址

業者應對爭議

事件通報後,業者未第一時間積極修復漏洞,反而指派 BakerHostetler 律師事務所與公關公司 FTI Consulting 出面交涉,引發批評。

背景

英國自 2026 年起全面擴大 ETA(電子旅行授權)實施範圍,網路上充斥仿冒政府官網的第三方代辦網站,這類網站資安防護水準參差不齊。

防範建議

赴英旅客應直接使用英國政府官網 GOV.UK ETA 線上申請系統或官方「UK ETA」App。

來源文章

相關頁面

  • aws — 雲端儲存平台(S3 儲存桶配置錯誤)