Tools / Neuigkeiten / Eine gefälschte UK-Visa-Website ließ 100.000 hochgeladene Pässe und Selfies offen im Netz
Presse

Eine gefälschte UK-Visa-Website ließ 100.000 hochgeladene Pässe und Selfies offen im Netz

· VaultTools

Am 27. Mai 2026 berichtete TechCrunch, dass UK Visa Portal, eine Seite ohne Verbindung zur britischen Regierung, mindestens 100.000 hochgeladene Pässe und Identitäts-Selfies in einem falsch konfigurierten Amazon-S3-Bucket offen ließ. EXIF-GPS in den Selfies legte sogar Privatadressen offen. Browserbasierte Werkzeuge sparen sich den Upload ganz.

VaultTools · 31. Mai 2026

Eine Person hält Pässe in der Hand, als Sinnbild für die Identitätsdokumente, die Antragsteller bei UK Visa Portal hochgeladen haben. Foto von Spencer Davis auf Unsplash

Inhaltsverzeichnis


Was geschah

Am 27. Mai 2026 berichtete TechCrunch, dass eine Website namens UK Visa Portal mindestens 100.000 Dokumente öffentlich zugänglich im Netz hatte liegen lassen. Bei den Dateien handelte es sich um Pässe und Identitäts-Selfies, die Antragsteller im Rahmen eines Visumantrags hochgeladen hatten. Die Seite steht in keiner Verbindung zur britischen Regierung. Sie wird angeblich von der Active Leadgen LLC betrieben, die ihren Sitz in den Vereinigten Arabischen Emiraten haben soll, und verwendet die Decknamen “UK Visit” und “ETA-Pass.” Einige Antragsteller gaben an, sie hätten irrtümlich an dieses Unternehmen gezahlt, im Glauben, den offiziellen GOV.UK-Dienst zu nutzen.

Ein anonymer Hinweisgeber meldete die Offenlegung an TechCrunch. Die Daten wurden erst über Nacht zum Mittwoch gesichert, Stunden nachdem der erste Bericht erschienen war und nachdem das Problem tagelang unbehoben geblieben war.

Wie die Dateien offengelegt wurden

Die Dokumente lagen in einem von Amazon gehosteten Speicher (einem Amazon-S3-Bucket). Der Bucket selbst listete seinen Inhalt nicht öffentlich auf, doch ein Fehler im Backend der Seite erlaubte es einer außenstehenden Person, die vollständige Liste der gespeicherten Dateien auszulesen. Sobald die Dateinamen sichtbar waren, konnte jeder einzelne Pass und jedes Selfie von jedem geöffnet werden, der die Adresse kannte. Es brauchte keinen ausgeklügelten Angriff. Ein Browser, auf das richtige Backend gerichtet, genügte, um den Katalog offenzulegen.

Es ist dasselbe Versagensmuster, das wenige Wochen zuvor beim japanischen Hotelanbieter Tabiq über eine Million Passscans offengelegt hatte. Das Muster bleibt gleich: eine sensible Datei einsammeln, sie in den Cloud-Speicher schreiben und darauf hoffen, dass jede Konfiguration für immer korrekt bleibt.

Das versteckte Risiko in einem Selfie

Das Leck war schlimmer als ein Stapel Ausweisscans. Viele der hochgeladenen Selfies trugen noch ihre ursprünglichen EXIF-Metadaten, darunter präzise GPS-Koordinaten, die festhielten, wo jedes Foto aufgenommen wurde. In manchen Fällen war diese Standortangabe genau genug, um auf die Privatadresse des Fotografen zu verweisen. Ein einziges Selfie, hochgeladen zur Identitätsprüfung, wurde zur Landkarte zu der Person, die es aufgenommen hatte. Den meisten Menschen ist gar nicht bewusst, dass ihre Fotos ihren Standort mit sich tragen.

Juristen statt Fehlerbehebung

Statt das Leck nach der Kontaktaufnahme zu schließen, reagierten die Betreiber über Anwälte der Kanzlei BakerHostetler und eine Krisen-PR-Firma, FTI Consulting. Die Anwälte legten keinen Nachweis einer Befugnis vor, und der genannte Geschäftsführer beantwortete die Fragen nicht. Der Bucket wurde erst gesichert, nachdem die Geschichte öffentlich geworden war, nicht weil die Meldung willkommen war.

Warum das wichtig ist

Das ist das Kernproblem beim Hochladen sensibler Dateien auf eine Website, die man nicht kontrolliert. Sobald ein Passscan oder ein Selfie das eigene Gerät verlässt, hängt seine Sicherheit vollständig von der Serverkonfiguration eines Fremden ab, und ein einziger falsch konfigurierter Bucket legt alle auf einmal offen. Das EXIF-Detail ist die schärfere Lehre, denn Standortdaten reisen lautlos in ganz gewöhnlichen Fotos mit.

Werkzeuge, die Dateien lokal verarbeiten, schaffen den Upload-Schritt ganz ab. Mit VaultTools wird ein Passscan, ein Bild oder ein PDF im Browser verarbeitet, und die Daten verlassen nie das Gerät. Das Entfernen von EXIF-Metadaten, einschließlich GPS-Koordinaten, geschieht auf dem eigenen Gerät. Es gibt keinen Bucket, der falsch konfiguriert werden könnte, keine Aufbewahrungsfrist zu prüfen und keinen Dritten, dem man vertrauen müsste. Ein Server, der eine Datei nie erhält, kann sie nicht preisgeben.


Quellen