仿英國ETA簽證申請的代辦網站外洩10萬護照!AWS儲存桶配置錯誤
來源: iThome | 日期: 2026-06-02 | URL: https://www.ithome.com.tw/news/176290
事件概要
第三方付費簽證代辦網站「UK Visa Portal」發生嚴重資安疏漏,至少 10 萬份申請人護照掃描檔與自拍照暴露於可公開存取的 Amazon S3 儲存桶中。
技術細節
- 根本原因: AWS S3 儲存桶配置錯誤
- 儲存桶未公開列出內容清單(無法直接瀏覽目錄),但只要知道個別檔案網址,任何人都能直接存取
- 網站後端存在弱點,攻擊者可藉此獲取儲存桶完整檔案清單
- 照片 Metadata 含嵌入式 GPS 座標,可能暴露申請人住家地址
業者應對
業者並未第一時間積極修復漏洞,反而指派 BakerHostetler 律師事務所與公關公司 FTI Consulting 出面交涉。
背景
- 英國自 2026 年起全面擴大 ETA(電子旅行授權)實施範圍
- 網路搜尋充斥名稱、視覺設計仿冒政府官網的第三方代辦網站
- 這類網站僅代填官網資料並收取額外費用,資安防護水準參差不齊
衍生頁面
- 仿英國ETA簽證申請的代辦網站外洩10萬護照AWS儲存桶配置錯誤 — 主要事件概念頁
- aws — 雲端儲存平台