یوکے ویزا پورٹل نامی ایک ویب سائٹ نے عوامی طور پر ان درخواست دہندگان کے ہزاروں پاسپورٹ اور سیلفی تصاویر کو منظر عام پر لایا جنہوں نے یو کے امیگریشن ویزا کے حصول کے لیے سائٹ کو ادائیگی کی، ٹیک کرنچ نے سیکھا ہے۔
ایک گمنام شخص نے ٹیک کرنچ کو سیکیورٹی لیپس کے بارے میں مطلع کیا، یہ کہتے ہوئے کہ ویب سائٹ ان لوگوں کے کم از کم 100000 دستاویزات کو سامنے لا رہی ہے جنہوں نے درخواست کے عمل کے ایک حصے کے طور پر اپنے پاسپورٹ اور سیلفی ویب سائٹ پر اپ لوڈ کی تھی۔
ویب سائٹ یو کے حکومت سے وابستہ نہیں ہے، اور کچھ نے شکایت کی ہے کہ انہوں نے سرکاری GOV.UK ویب سائٹ استعمال کرنے کے بجائے غلطی سے اس کمپنی کو فیس ادا کر دی ہے۔
اس واقعے کے بارے میں ہماری ابتدائی کہانی شائع کرنے کے چند گھنٹے بعد، بے نقاب ڈیٹا کو بُدھ تک راتوں رات محفوظ کر لیا گیا۔ بے نقاب ڈیٹا کی انتہائی حساس نوعیت کے پیش نظر، TechCrunch نے انکشاف کیا کہ سیکیورٹی کا ایک مسئلہ جاری ہے، جبکہ مخصوص تفصیلات کو روکنا ہے تاکہ افراد کی نجی معلومات کے لیے کسی اضافی خطرے کو کم کیا جا سکے۔
TechCrunch نے ابھی تک UK Visa Portal کی انتظامیہ سے کوئی جواب نہیں دیا ہے۔ ہم تک پہنچنے پر مسئلہ کو حل کرنے کے بجائے، کمپنی نے اپنے وکیلوں اور تعلقات عامہ کی فرم کو ہمارے راستے پر بھیجا۔
سیکیورٹی لیپس حالیہ ہفتوں میں کمپنیوں کی جانب سے اپنے صارفین کی حکومت کی طرف سے جاری کردہ حساس شناختی دستاویزات کو عوامی طور پر منظر عام پر لانے کی تازہ ترین مثال ہے، جو اکثر باہر کے سائبر حملے کے بجائے غلط کنفیگریشن کی وجہ سے ہوتی ہے۔ پاسپورٹ کی نمائش خاص طور پر ایک ایسے وقت میں پریشانی کا باعث ہے جب دنیا بھر میں آن لائن شناختی جانچ پڑتال بڑھ رہی ہے، حکومتوں کی جانب سے عمر کی تصدیق کے قوانین نافذ کرنے کی بدولت۔
کمپنی کے جواب کی کمی اس بارے میں بھی کھلے سوالات چھوڑتی ہے کہ آیا یہ متاثرہ صارفین کو آگاہ کرے گا کہ ان کے پاسپورٹ عوامی طور پر ظاہر کیے گئے ہیں، یا امریکی ریاست اور یورپی ڈیٹا کی خلاف ورزی کے نوٹیفکیشن قوانین کے تحت ضرورت کے مطابق ریگولیٹرز کو مطلع کریں گے۔
ڈیٹا کا پھیلاؤ عوامی ایمیزون کے زیر اہتمام اسٹوریج سرور (جسے بالٹی بھی کہا جاتا ہے) سے ہوا، جسے یوکے ویزا پورٹل صارف کے اپ لوڈ کردہ پاسپورٹ اور سیلفیز کی میزبانی کے لیے استعمال کرتا ہے۔
جب کہ بالٹی عوامی طور پر اپنے مواد کی فہرست نہیں دے رہی تھی، اس کے اندر موجود فائلیں اب بھی ہر اس شخص کے لیے قابل رسائی اور دیکھنے کے قابل تھیں جو ہر فائل کا ویب ایڈریس جانتا تھا۔ جس شخص نے ہمیں نمائش کے بارے میں مطلع کیا اس نے کہا کہ یو کے ویزا پورٹل کی ویب سائٹ کے بیک اینڈ پر ایک بگ نے انہیں بالٹی میں موجود فائلوں کی فہرست دیکھنے کی اجازت دی۔
TechCrunch نے تصدیق کی کہ UK Visa Portal (جسے UK Visit اور ETA-Pass بھی کہا جاتا ہے) ڈیٹا لیک ہونے کا ذریعہ تھا اور متاثرہ افراد سے رابطہ کرکے یہ پوچھنے کے لیے کہ آیا ان کی معلومات درست تھیں، بے نقاب ڈیٹا کی صداقت کی تصدیق کی۔
صارف کی اپ لوڈ کی گئی بہت سی تصاویر میں حقیقی دنیا کا صحیح مقام بھی موجود ہے، جس سے یہ ظاہر ہوتا ہے کہ تصاویر کہاں لی گئی ہیں۔ کچھ معاملات میں، یہ مقام کا ڈیٹا تصویر لینے والے کے گھر کا پتہ ظاہر کرنے کے لیے کافی درست تھا۔
یو کے ویزا پورٹل اپنی ویب سائٹ کے ذریعے سیکیورٹی کے مسائل کی اطلاع دینے کا کوئی طریقہ فراہم نہیں کرتا ہے اور نہ ہی اس کی ویب سائٹ کمپنی کے انتظام کے لیے نام یا رابطے کی معلومات فراہم کرتی ہے۔ TechCrunch نے UK Visa Portal کی ویب سائٹ پر درج ای میل ایڈریس پر ایک ای میل بھیجی، جس میں انہیں متنبہ کیا گیا کہ کمپنی کے پاس سیکیورٹی لیپس جاری ہے، اور پوچھا کہ ہم کس کے ساتھ انتظامیہ میں اس مسئلے کو حل کرنے کے لیے تفصیلات شیئر کر سکتے ہیں۔ TechCrunch نے وضاحت کی کہ ہم کمپنی کے عمومی کسٹمر سپورٹ ان باکس کے ساتھ تفصیلات کا اشتراک نہیں کر سکتے کیونکہ ہم اس بات کی ضمانت نہیں دے سکتے کہ بے نقاب ڈیٹا کا غلط استعمال نہیں کیا جائے گا۔
کسٹمر سپورٹ پرسن نے TechCrunch کو مائیکل ٹیلر کا نام اور ای میل ایڈریس فراہم کیا، جس کے بارے میں ہمیں بتایا گیا کہ وہ UK Visa Portal پر مینیجر ہے۔ اس شخص نے ہمارے استفسار کا جواب نہیں دیا۔
اس کے فوراً بعد، امریکی قانونی فرم BakerHostetler کے وکلاء اور تعلقات عامہ کی فرم FTI Consulting کے نمائندوں نے UK Visa Portal پر مسئلے کے بارے میں معلومات حاصل کرنے کے لیے TechCrunch سے رابطہ کیا۔ TechCrunch کی طرف سے پوچھے جانے پر، اٹارنی اس بات کا ثبوت فراہم نہیں کریں گے کہ وہ کمپنی کی جانب سے بات کرنے کے مجاز تھے، جیسے کہ ہمیں عوامی ریکارڈ فراہم کرکے ان افراد کے نام اور کردار کی تصدیق کرتے ہیں جن کی وہ نمائندگی کرنے کا دعوی کرتے ہیں۔ ہم نے دوبارہ نوٹ کیا کہ ہم کمپنی کے انتظام سے باہر سیکورٹی لیپس کے بارے میں معلومات کا اشتراک نہیں کر سکتے۔
ہم نے مزید کہا کہ اگر ٹیلر، یا کوئی اور مینیجر، سیکورٹی لیپس کے بارے میں معلومات کو قبول کرنے کے لیے تیار ہے، تو وہ ان تک پہنچ سکتے ہیں — یا اٹارنی ای میل تھریڈ پر انہیں کاپی کر سکتے ہیں۔ ہم نے واپس نہیں سنا۔ ہماری کہانی کے شائع ہونے اور بالٹی محفوظ ہونے کے بعد، TechCrunch نے وکلاء کو سیکورٹی لیپس کے بارے میں سوالات کا ایک سلسلہ پیش کیا۔ ہم نے BakerHostetler کے پارٹنر ریان کرسچن سے جو سوالات پوچھے ان میں Amazon کی میزبانی والی بالٹی کب تک سامنے آئی، اس کے سامنے آنے کی وجہ، اور اگر کمپنی کے پاس یہ تعین کرنے کے لیے کوئی لاگز موجود ہیں کہ آیا کسی نے بے نقاب ڈیٹا تک رسائی حاصل کی یا ڈاؤن لوڈ کی۔ ہم نے یہ بھی پوچھا کہ UK ویزا پورٹل پر سائبر سیکیورٹی کے لیے کون ذمہ دار ہے، اگر کوئی ہے۔ کرسچن نے کوئی جواب نہیں دیا۔
یو کے ویزا پورٹل کو مبینہ طور پر ایکٹیو لیڈجن ایل ایل سی نامی کمپنی چلاتی ہے، جس کا مقصد متحدہ عرب امارات میں واقع ایک کمپنی ہے۔ TechCrunch آزادانہ طور پر اس کی تصدیق نہیں کر سکا۔
یو کے الیکٹرانک ٹریول کی اجازت کے لیے درخواست دینے کے لیے فریق ثالث کی سروس استعمال کرنا ضروری نہیں ہے، جب تک کہ آپ امیگریشن اٹارنی کو برقرار نہیں رکھتے، اور درخواست دہندگان کو یو کے حکومت کی ویب سائٹ کے ذریعے درخواست دینی چاہیے۔
سب سے پہلے 26 مئی کو شائع ہوا، اور سیکیورٹی لیپس کے بارے میں اضافی معلومات کے ساتھ اپ ڈیٹ ہوا۔
