recentemente, o veículo de mídia tecnológica techcrunch expôs uma grave falha de segurança em uma plataforma de serviços de visto falsa chamada “uk visa portal” — seus servidores não possuíam controles de acesso, deixando pelo menos 100 mil documentos sensíveis, contendo digitalizações de passaportes e selfies biométricas dos solicitantes, completamente acessíveis ao público. o site não é operado pelo governo do reino unido, mas sim por uma agência privada terceirizada que se apresenta como oferecedora de “assistência na solicitação de autorização eletrônica de viagem (eta)”. seu nome de domínio e design visual imitam deliberadamente a plataforma oficial do governo britânico, gov.uk, levando muitos usuários a acreditarem erroneamente que ela possui credenciais oficiais, o que os leva a pagar altas taxas de serviço e a fornecer suas informações pessoais essenciais.
segundo diversos denunciantes anônimos e a verificação in loco realizada pelo techcrunch, as imagens de passaporte, fotos faciais e demais dados enviados pelos usuários nessa plataforma não eram nem criptografados nem submetidos a controles adequados de acesso; podiam ser visualizados e baixados diretamente apenas ao acessar o endereço url básico. jornalistas entraram em contato aleatoriamente com vários solicitantes afetados e confirmaram que suas informações pessoais haviam sido efetivamente vazadas sem qualquer notificação. investigações adicionais revelaram que o site carece de uma política de proteção de dados e não divulga seus detalhes de registro corporativo, informações de contato da gestão ou mecanismo de divulgação de vulnerabilidades, resultando em praticamente zero transparência operacional.
o techcrunch enviou um alerta de segurança oficial ao operador por meio do endereço de e-mail indicado no site oficial, solicitando explicitamente uma comunicação direta com o responsável pela empresa para fornecer detalhes técnicos. a resposta veio de um escritório de advocacia e de uma agência de relações públicas que afirmavam representar a empresa, mas que, de forma consistente, recusaram-se a marcar uma reunião com a alta administração. até a publicação deste relato, as vulnerabilidades permanecem sem correção, e os riscos associados continuam a se espalhar.
considerando que os dados vazados incluem informações biométricas de alto valor — facilmente exploráveis para roubo de identidade ou fraude —, o techcrunch optou por não divulgar detalhes técnicos específicos neste momento, a fim de prevenir possíveis usos maliciosos. ao mesmo tempo, o veículo ressalta que os pedidos de autorização eletrônica de viagem (eta) do reino unido são totalmente gratuitos e devem ser processados exclusivamente pelo site oficial gov.uk. salvo casos de necessidades legais complexas de imigração que exijam o acompanhamento de um advogado licenciado, o público deve evitar utilizar quaisquer plataformas de serviços de visto de terceiros.
