仿英國ETA簽證申請的代辦網站外洩10萬護照！AWS儲存桶配置錯誤，通報後業者派律師而非先釐清

TechCrunch指出，這起事件是由一名匿名消息人士主動通報，媒體隨後透過外流資訊聯繫部分當事人進行核對，證實外洩資料內容屬實。在技術細節上，這是一起典型的雲端儲存配置錯誤案例。雖然該Amazon S3儲存桶並未公開列出其內容清單，意即一般人無法直接瀏覽儲存桶內的檔案目錄；然而，只要知道個別檔案的網址，任何人都能直接存取並讀取內容。通報者進一步指出，UK Visa Portal網站後端存在一個弱點，讓攻擊者能藉此獲取儲存桶內的檔案清單，進而導致大規模的資料外流。

除了敏感的身分證件外流問題，另一資安媒體SecurityAffairs也點出相關風險，指出這些證件照片的中繼資料（Metadata）含有嵌入式GPS座標資訊，導致部分案例中甚至能直接識別出申請人的住家地址。

在事件發生後，TechCrunch已嘗試多次聯繫營運UK Visa Portal業者。然而，該業者的處理方式令人失望。業者並未在第一時間積極修復漏洞，反而指派BakerHostetler律師事務所與公關公司FTI Consulting出面交涉。

綜觀這起事件，突顯第三方代辦服務的亂象正隨之升溫。隨著英國政府自2026年起全面擴大電子旅行授權（ETA）實施範圍，各國旅客對線上申請需求激增，雖然英國政府多次呼籲，旅客應優先使用英國政府GOV.UK的ETA線上申請系統，或下載「UK ETA」App進行辦理，但網路搜尋結果中仍充斥名稱、視覺設計與政府官網極其相似的第三方付費代辦網站，而這類網站只是幫旅客將資料填進官網並收取額外服務費用，其資安防護水準往往也參差不齊。