第三方簽證代辦網站 UK Visa Portal 出現嚴重保安漏洞,至少 100,000 份申請人護照掃描件與自拍相片在網上公開曝光,該平台與英國政府並無任何官方關聯,但向用戶收取遠高於官方收費的服務費,部分申請人甚至誤以為自己正在使用 gov.uk 官方途徑辦理電子旅行許可 (ETA)。目前網站管理層既未現身回應,漏洞亦未獲修補,事件令全球跨境身份核實業務的監管真空問題再度浮面,亦為跨國企業外派、招聘及合規管理敲響警鐘。
事件經過與核實過程
整宗事件源於 1 名匿名人士向 TechCrunch 提供線報,指 UK Visa Portal 把用戶上載的證件影像存放在可公開存取的位置,涉及檔案數量至少 100,000 份,TechCrunch 透過直接聯絡受影響人士,逐一核實外洩資料的真確性,確認資料庫內容並非偽造。記者翻查 Reddit 等討論區,發現多名網民早已留言質疑該平台身份,有人形容自己誤以為這是英國政府網站而支付費用,事後才察覺受騙。
令調查工作更為棘手的是平台本身的透明度問題,UK Visa Portal 既無設置標準化的保安漏洞通報機制,網站上亦看不到管理層姓名或直接聯絡方法。TechCrunch 嘗試循網站列出的電郵地址發信,希望接觸負責人以便交付技術細節,但基於外洩資料涉及生物特徵與身份證件,記者拒絕將具體位置告知一般客戶服務信箱。回覆的是自稱代表該公司的律師團隊及公關公司,管理層始終沒有現身對話。TechCrunch 多次要求對方安排與管理層直接通話以協調安全披露,惟對方未有進一步配合,漏洞至今仍未修補。
解讀 ETA 制度與第三方平台的灰色地帶
要理解事件的嚴重性,必須先掌握英國電子旅行許可 (Electronic Travel Authorisation,簡稱 ETA) 的運作邏輯,英國內政部自 2023 年 10 月起分階段推行 ETA,由計劃啟動至 2025 年底,當局共簽發 24,800,000 份 ETA。官方一再強調 ETA 並非簽證,而是讓符合資格的旅客在登機前獲得入境前置許可,多數申請人在 ETA 應用程式內幾分鐘即可獲得自動審批結果。
收費結構是事件的關鍵切入點,英國政府於 2026 年 4 月 8 日將 ETA 費用由 16 英鎊(約港幣 HK$156)上調至 20 英鎊(約港幣 HK$195),加幅達 25%。以 1 英鎊兌 9.75 港元的匯率計算,官方收費約港幣 195 元。英國內政部在官方文件中特別提醒,其他申請服務可能收取較政府為高的費用。坊間湧現大批介面仿似官方的代辦平台,UK Visa Portal 正是當中一員,這類平台通常加收數十英鎊「服務費」,總價往往達到 60 至 100 英鎊(約港幣 HK$585 至 HK$975),是直接申請成本的 3 至 5 倍。
申請過程本身亦解釋了風險為何如此巨大,申請人必須上傳將會使用的護照、電郵地址、信用卡或電子錢包付款資料,以及一張現場拍攝或上傳的數碼相片。這些資料一旦集中存放於保安措施不足的第三方伺服器,等同把護照號碼、出生日期及人臉生物特徵打包送上互聯網。
護照配自拍照的黑市價值
被外洩的並非普通電郵地址或姓名,而是可以直接重組身份的核心組合,當資料外洩涉及護照副本,犯罪分子往往用以冒用受害人身份,可開立虛假戶口、申請貸款及信用卡,又或進行其他金融交易。不法之徒甚至會利用被竊的護照資料偽造證件,再用於洗黑錢、人口販運、毒品走私及恐怖活動。
加上自拍照後,風險升級至另一層次,在生成式 AI 與深偽 (deepfake) 技術急速成熟的當下,一張正面證件相加上對應的活體自拍照,足以讓攻擊者繞過大量金融科技平台的視像核身 (video KYC) 流程,包括加密貨幣交易所的開戶程序、網上銀行的遙距開戶服務,以至跨境匯款平台的身份驗證關卡。身份盜竊與未經授權進入受保護設施,正是生物特徵資料外洩最直接的後果,限制儲存範圍與保留時間,是 GDPR 框架下任何機構最務實的風險緩解措施。
監管雷區:UK GDPR 的高壓線
英國資訊專員辦公室 (ICO) 近年對個人資料保護的執法力度持續加大,違反 UK GDPR 規定的企業最高可被罰款 1,750 萬英鎊(約港幣 1.71 億元),或全球年度營業額的 4%,以較高者為準。以 1 英鎊兌 9.75 港元計算,1,750 萬英鎊上限相當於港幣約 1.71 億元。
其時效要求同樣嚴苛,ICO 規定符合通報門檻的個人資料外洩事故,原則上須於得悉事件 72 小時內通報,並在風險高企時毫不延誤通知受影響人士。對處理護照及生物特徵的機構而言,這條準則並非紙上談兵。值得留意的是,生物特徵資料用於辨識特定個人時,將歸類為 GDPR Article 9 下的特別類別資料,觸發較一般個人資料更嚴格的法定要求;機構須同時滿足 Article 6 下的合法處理基礎及 Article 9(2) 的特定條件,欠缺其中一層即構成違規。
UK Visa Portal 事件揭示一個監管盲點:當第三方代辦平台註冊於海外、又無公開管理層身份時,ICO 即使想介入亦面臨執法障礙,對於依賴跨境身份核實的行業,企業期望能透過更嚴格的供應商盡職審查 (vendor due diligence) 來填補這個結構性風險。
企業應對:從採購到員工培訓的全鏈條風險管理
事件對企業的啟示遠超「不要使用山寨網站」這個層次,人力資源總監在規劃員工外派或跨境出差時,必須建立明確指引,要求員工只透過官方 gov.uk 或經認證的移民律師辦理 ETA 與簽證。承運商若未確認旅客持有有效 ETA 即予登機,可能面對每名乘客最高 10,000 英鎊(約港幣 HK$97,500)罰款,企業在統一採購機票及住宿時,應將 ETA 核實步驟納入差旅管理系統的強制欄位。
資訊保安總監則須重新審視自身機構的證件處理架構,事件再次提醒業界,多數外洩並非源於高深的黑客攻擊,而是雲端儲存桶 (cloud storage bucket) 權限設定錯誤、API 端點欠缺存取控制,或第三方供應商把資料儲存在不受監管的伺服器。從事認識你的客戶 (KYC) 業務的金融科技公司、加密貨幣交易所、保險科技平台及網上銀行,應該把證件影像的加密儲存、最短保留期、以及存取日誌審計列為基本門檻,並以資料保護影響評估 (DPIA) 作為新功能推出前的必經程序。
合規總監可以視這次事件為內部培訓教材,員工往往因為「方便」而搜尋「UK ETA」,繼而誤入 Google 競價廣告中排首位的代辦平台。企業應該在內部知識庫鎖定官方連結,並透過郵件過濾規則攔截偽冒網域,避免員工成為下一宗外洩的受害者。
合規代辦市場的重新洗牌
風暴之中亦有清晰商機,律師事務所、會計師樓及移民顧問公司可以把握市場空隙,提供經認證的合規代辦服務,以開明定價、保險賠償機制及 ISO 27001 認證建立差異化優勢。對企業客戶而言,這類服務除了確保合規,更可以將跨境員工流動的數據化管理外判,把護照到期日、ETA 有效期、簽證類別等資料整合至單一儀表板。
身份核實技術供應商亦迎來增長窗口,分散式身份 (Decentralized Identity,DID) 與零知識證明 (Zero-Knowledge Proof) 等技術,讓申請人無須上傳完整證件影像即可完成核實,從根本減少資料集中儲存的風險。EU AI Act、伊利諾州 BIPA 及加州 CCPA 對生物特徵資料設下重疊或額外的要求,截至 2026 年,合規工作意味同時追蹤多個監管框架,能夠提供一站式跨司法管轄區合規方案的供應商,將成為跨國企業優先採購對象。
跨境身份基建的範式轉移
未來跨境身份核實業務將迎來三重變革,英國 ETA 的推行與加拿大 eTA、即將啟動的歐盟 ETIAS 形成全球性的入境前風險預審轉向,這意味更多旅客資料將集中於數碼平台,亦意味假冒代辦的詐騙誘因水漲船高。各國監管機構勢必加強對第三方平台的執法協調,國際刑警組織 (INTERPOL) 與歐洲刑警組織 (Europol) 對跨境身份詐騙的聯合行動可望進一步升級。
技術層面,金融機構與科技巨頭正加快推動「可驗證憑證」 (Verifiable Credentials) 標準的落實,Apple Wallet 與 Google Wallet 已開始支援部分國家的數碼身份證,未來旅客或可直接以裝置內的加密憑證向英國邊境系統證明身份,毋須再把護照影像上載至任何第三方伺服器。Microsoft 與 IBM 亦正投資企業級身份基建,預期將深刻改寫企業的 KYC 流程。
法規方面,UK GDPR 下高達 1,750 萬英鎊(約港幣 1.71 億元)或全球營業額 4% 的罰款上限,配合民事索償的群組訴訟趨勢,足以令任何輕視資料保安的企業承受不對稱風險,對企業領導層而言,UK Visa Portal 事件不應僅僅讀作一宗外洩新聞,而是跨境營運時代下,把資料最小化、供應商審查與員工培訓三者整合為日常營運紀律的契機。冀能在便利與安全之間取得平衡的企業,才有資格在下一波身份基建轉型中佔據主動位置。
來源:TechCrunch
