仿英國ETA簽證申請的代辦網站外洩10萬護照!AWS儲存桶配置錯誤

來源: iThome | 日期: 2026-06-02 | URL: https://www.ithome.com.tw/news/176290

事件概要

第三方付費簽證代辦網站「UK Visa Portal」發生嚴重資安疏漏,至少 10 萬份申請人護照掃描檔與自拍照暴露於可公開存取的 Amazon S3 儲存桶中。

技術細節

  • 根本原因: AWS S3 儲存桶配置錯誤
  • 儲存桶未公開列出內容清單(無法直接瀏覽目錄),但只要知道個別檔案網址,任何人都能直接存取
  • 網站後端存在弱點,攻擊者可藉此獲取儲存桶完整檔案清單
  • 照片 Metadata 含嵌入式 GPS 座標,可能暴露申請人住家地址

業者應對

業者並未第一時間積極修復漏洞,反而指派 BakerHostetler 律師事務所與公關公司 FTI Consulting 出面交涉。

背景

  • 英國自 2026 年起全面擴大 ETA(電子旅行授權)實施範圍
  • 網路搜尋充斥名稱、視覺設計仿冒政府官網的第三方代辦網站
  • 這類網站僅代填官網資料並收取額外費用,資安防護水準參差不齊

衍生頁面