Trang web UK Visa Portal đang công khai để lộ hộ chiếu và ảnh selfie của người nộp đơn xin visa Anh — và vẫn chưa vá lỗ hổng này, theo TechCrunch. Một nguồn ẩn danh cho TechCrunch biết ít nhất 100.000 tài liệu bị phơi bày. TechCrunch xác nhận tính xác thực của dữ liệu bằng cách liên hệ trực tiếp với các nạn nhân.
UK Visa Portal không phải trang web chính phủ Anh — trang chính thức là GOV.UK. Nhiều người dùng phản ánh đã nhầm lẫn trả phí cho trang này thay vì nộp đơn qua kênh chính thức.
TechCrunch đã liên hệ cảnh báo công ty nhưng chỉ nhận được phản hồi từ luật sư và công ty PR của họ. Ban lãnh đạo UK Visa Portal không lên tiếng. Trang web cũng không có kênh báo cáo lỗi bảo mật. Tính đến thời điểm bài viết, lỗ hổng vẫn còn đó.
Hộ chiếu kết hợp với ảnh selfie là cặp dữ liệu lý tưởng cho gian lận danh tính — và không thể 'đổi' như mật khẩu.
Phân Tích
Vụ rò rỉ này không chỉ là sự cố kỹ thuật — đây là hậu quả điển hình của mô hình kinh doanh khai thác sự nhầm lẫn của người dùng. UK Visa Portal hoạt động trong vùng xám pháp lý: không phải cơ quan nhà nước, không phải văn phòng luật sư có giấy phép, nhưng thu tiền xử lý hồ sơ visa và lưu trữ dữ liệu sinh trắc học nhạy cảm nhất của khách hàng — hộ chiếu và ảnh mặt.
Mô hình này không mới. Những trang web dạng "visa agent" tương tự đã xuất hiện rầm rộ ở Mỹ, Úc và Canada nhắm vào người nhập cư kém thông thạo tiếng Anh hoặc ít quen với quy trình hành chính. Khi xảy ra sự cố, họ không có cơ chế báo cáo lỗi bảo mật, không có người chịu trách nhiệm rõ ràng, và phản hồi đầu tiên là luật sư và PR — không phải kỹ thuật viên.
Hộ chiếu kết hợp với ảnh selfie là cặp dữ liệu lý tưởng cho hành vi gian lận danh tính (identity fraud) và làm giả giấy tờ. Khác với mật khẩu, hộ chiếu không thể "đổi" chỉ trong vài cú click. Nạn nhân sẽ đối mặt với rủi ro kéo dài nhiều năm.
Điều đáng lo là công ty vẫn im lặng dù đã được cảnh báo. Đây là dấu hiệu cho thấy họ không có năng lực — hoặc không có ý chí — để xử lý vấn đề bảo mật nghiêm túc.
Tác Động Cộng Đồng
Hai nhóm trong cộng đồng người Việt tại Mỹ có nguy cơ trực tiếp từ vụ này.
Thứ nhất, sinh viên OPT và STEM OPT đang có kế hoạch du học hoặc thực tập tại Anh — đặc biệt tập trung ở các thành phố như San Jose, Houston và Philadelphia — có thể đã dùng UK Visa Portal thay vì GOV.UK do trang này xuất hiện cao trên kết quả tìm kiếm. Nếu hộ chiếu và ảnh của họ bị lộ, nguy cơ gian lận danh tính có thể ảnh hưởng đến hồ sơ visa H-1B hoặc đơn xin thẻ xanh đang xử lý song song.
Thứ hai, người thân thế hệ thứ nhất đang nộp đơn xin visa thăm thân (visitor visa) tới Anh để gặp con cháu định cư tại đó — nhóm ít am hiểu quy trình hành chính trực tuyến, dễ bị dẫn đến trang không chính thức. Nếu dữ liệu của họ bị lạm dụng, quá trình xin visa tương lai sẽ bị ảnh hưởng nghiêm trọng.