بوابة تأشيرات المملكة المتحدة تكشف جوازات سفر وآخرين لآلاف المتقدمين — ثم استدعت المحامين ضدنا

9:36 مساءً | 27 مايو 2026 شاشوف ShaShof
a close-up shot of a UK visa in someone's passport.

كشف موقع يسمى UK Visa Portal عن آلاف جوازات السفر وصور السيلفي للمتقدمين الذين دفعوا للموقع للحصول على تأشيرة هجرة بريطانية، وفقًا لما تعلمته TechCrunch.

أحاط شخص مجهول TechCrunch بانتهاك الأمان، قائلاً إن الموقع كان يكشف عن 100,000 وثيقة على الأقل من الأشخاص الذين رفعوا جوازاتهم وصور السيلفي كجزء من عملية التقديم.

الموقع ليس مرتبطًا بالحكومة البريطانية، وقد اشتكى بعضهم من أنهم دفعوا عن طريق الخطأ رسومًا لهذه الشركة بدلاً من استخدام موقع GOV.UK الرسمي.

تم تأمين البيانات المكشوفة في الليلة التالية ليوم الأربعاء، بعد ساعات من نشرنا قصتنا الأولية حول الحادث. نظرًا للطبيعة الحساسة للغاية للبيانات المكشوفة، كشفت TechCrunch أن هناك مشكلة أمان مستمرة، مع حجب تفاصيل محددة للحد من أي خطر إضافي على المعلومات الخاصة بالأفراد.

لم تتلق TechCrunch ردًا من إدارة UK Visa Portal حتى الآن. وبدلاً من حل المشكلة عندما تواصلنا، أرسلت الشركة محاميها وشركة العلاقات العامة الخاصة بها إلينا.

يعد هذا الانتهاك الأمني مثالًا آخر عن الشركات التي تكشف علنًا عن وثائق الهوية الحساسة المصدرة من الحكومة لعملائها في الأسابيع الأخيرة، وغالبًا ما يكون ذلك ناجمًا عن إعداد خاطئ بدلاً من هجوم سيبراني خارجي. إن الكشف عن جوازات السفر يعتبر مشكلة خاصة في وقت تزايد عمليات التحقق من الهوية عبر الإنترنت حول العالم، بفضل تنفيذ حكومات قوانين تحقق من العمر.

ترك عدم استجابة الشركة أيضًا تساؤلات حول ما إذا كانت ستنبه العملاء المتأثرين بأن جوازات سفرهم قد كشفت علنًا، أو ستنبه المنظمين كما هو مطلوب بموجب قوانين إشعار خروقات البيانات في الولايات المتحدة والدول الأوروبية.

جوازات السفر المكشوفة، صور السيلفي، وبيانات الموقع

نشأت تسرب البيانات من خادم تخزين عام مستضاف على Amazon (يسمى أيضًا دلوًا) يستخدمه UK Visa Portal لاستضافة جوازات سفر وصور سيلفي المستخدمين المحملة.

بينما لم يكن الدلو يعرض محتوياته للجمهور، إلا أن الملفات الموجودة بداخله كانت لا تزال قابلة للوصول والمشاهدة لأي شخص يعرف عنوان الويب لكل ملف. قال الشخص الذي أبلغنا عن الانتهاك إن خللًا في الخلفية لموقع UK Visa Portal سمح له بمشاهدة قائمة الملفات الموجودة في الدلو.

أكدت TechCrunch أن UK Visa Portal (المعروف أيضًا باسم UK Visit و ETA-Pass) كانت مصدر تسرب البيانات وحتما تحقق من صحة البيانات المكشوفة من خلال الاتصال بالأفراد المتأثرين للاستفسار عما إذا كانت معلوماتهم دقيقة.

احتوت العديد من الصور التي تم تحميلها من قبل المستخدمين أيضًا على الموقع الدقيق في العالم الحقيقي، مما يكشف عن أماكن التقاط الصور؛ في بعض الحالات، كانت بيانات الموقع دقيقة بما يكفي لكشف عنوان المنزل لمصور الصورة.

لا يوفر UK Visa Portal وسيلة للإبلاغ عن مشكلات الأمان عبر موقعه على الويب، كما لا يوفر موقعه أسماء أو معلومات اتصال لإدارة الشركة. أرسلت TechCrunch بريدًا إلكترونيًا إلى العنوان المدرج على موقع UK Visa Portal، تنبههم بأن الشركة لديها ثغرة أمان مستمرة، وتسأل مع من في الإدارة يمكننا مشاركة التفاصيل لحل المشكلة. أوضحت TechCrunch أنه لا يمكننا مشاركة تفاصيل مع صندوق دعم العملاء العام للشركة لأننا لا يمكننا ضمان عدم إساءة استخدام البيانات المكشوفة.

قدم شخص دعم العملاء لـ TechCrunch اسم وعنوان بريد إلكتروني لمايكل تايلور، الذي أُخبرنا أنه مدير في UK Visa Portal. الشخص لم يرد على استفسارنا.

بعد وقت قصير، اتصل محامون من شركة BakerHostetler القانونية الأمريكية وممثلون من شركة العلاقات العامة FTI Consulting بـ TechCrunch بحثًا عن معلومات حول المشكلة في UK Visa Portal. عندما سُئلوا من قبل TechCrunch، لم يقدم المحامون دليلًا على أنهم مخولون بالتحدث نيابة عن الشركة، مثل تزويدنا بسجل عام يؤكد اسم ودور الأفراد الذين يدعون تمثيلهم. وأعدنا الإشارة مرة أخرى إلى أننا لا يمكننا مشاركة معلومات حول الثغرة الأمنية خارج إدارة الشركة.

أضفنا أنه إذا كان تايلور أو مدير آخر مستعدًا لاستقبال معلومات حول الثغرة الأمنية، فيمكنهم التواصل – أو يمكن للمحامين نسخهم على سلسلة البريد الإلكتروني. لم نسمع ردًا.

بعد نشر قصتنا وتأمين الدلو، قدمت TechCrunch للمحامين مجموعة من الأسئلة حول الثغرة الأمنية. تشمل الأسئلة التي طرحناها على الشريك في BakerHostetler، ريان كريستيان، كيف تم الكشف عن الدلو المستضاف في Amazon، وسبب الكشف عنه، وما إذا كانت الشركة لديها سجلات لتحديد ما إذا كان قد تم الوصول إلى البيانات المكشوفة أو تنزيلها. كما سألنا من هو المسؤول عن الأمن السيبراني في UK Visa Portal، إن كان هناك أي شخص. لم يرد كريستيان.

تشير التقارير إلى أن UK Visa Portal تديرها شركة تُسمى Active Leadgen LLC، التي تدعي أنها شركة مقرها في الإمارات العربية المتحدة. لم تستطع TechCrunch التحقق من ذلك بشكل مستقل.

ليس من الضروري استخدام خدمة طرف ثالث للتقدم للحصول على تصريح سفر إلكتروني بريطاني، ما لم تكن تستعين بمحامي هجرة، وينبغي على المتقدمين التقديم من خلال موقع الحكومة البريطانية.

نُشر لأول مرة في 26 مايو، وتحديث مع معلومات إضافية حول الثغرة الأمنية.

عندما تشتري عبر الروابط في مقالاتنا، قد نربح عمولة صغيرة. هذا لا يؤثر على استقلاليتنا التحريرية.


المصدر