เว็บไซต์ UK Visa Portal รั่วไหลข้อมูลหนังสือเดินทางกว่า 100,000 รายการ — ยังไม่ได้รับการแก้ไข

เว็บไซต์ UK Visa Portal ซึ่งเป็นบริการของบุคคลที่สามที่ไม่ใช่ช่องทางราชการของรัฐบาลอังกฤษ ถูกรายงานว่าปล่อยให้เอกสารส่วนบุคคลกว่า 100,000 รายการ ทั้งภาพสแกนหนังสือเดินทางและเซลฟี่ยืนยันตัวตน เปิดเผยอยู่บนพื้นที่จัดเก็บข้อมูลบนคลาวด์โดยไม่มีการป้องกันใดๆ ตามรายงานของ TechCrunch และ TechRadar ณ วันที่ 26 พฤษภาคม 2569 ปัญหาดังกล่าวยังไม่ได้รับการแก้ไข

ข้อมูลอะไรบ้างที่รั่วไหลออกไป

ตามรายงานที่อ้างอิงโดย TechRadar พื้นที่จัดเก็บข้อมูลบนคลาวด์ของ UK Visa Portal ถูกตั้งค่าให้เปิดสาธารณะโดยไม่มีรหัสผ่านป้องกัน ทำให้ใครก็ตามสามารถเข้าถึงเอกสารได้โดยตรง ข้อมูลที่รั่วไหลออกไปมีความครอบคลุมในระดับที่น่าเป็นห่วงอย่างยิ่ง ได้แก่

• ชื่อ-นามสกุล, หมายเลขหนังสือเดินทาง, สัญชาติ, วันเกิด และสถานที่เกิด
• วันออกและวันหมดอายุของหนังสือเดินทาง
• ที่อยู่บ้าน, หมายเลขโทรศัพท์ และอีเมล
• ภาพเซลฟี่ที่ถ่ายเพื่อยืนยันตัวตน

ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ในระดับนี้ถือว่ามีมูลค่าสูงมากสำหรับอาชญากรไซเบอร์ เนื่องจากสามารถนำไปใช้ในการปลอมแปลงตัวตน การเปิดบัญชีธนาคารโดยไม่ได้รับอนุญาต หรือการฉ้อโกงทางการเงินในรูปแบบต่างๆ

นอกจากนี้ ยังมีรายงานว่าโครงสร้างการตั้งชื่อไฟล์ภายในระบบมีรูปแบบที่คาดเดาได้ง่าย หมายความว่าแม้ผู้ไม่ประสงค์ดีที่ไม่มีลิงก์โดยตรง ก็อาจสามารถเข้าถึงเอกสารของผู้ใช้รายอื่นได้โดยการเดา URL นี่จึงไม่ใช่แค่ความผิดพลาดในการตั้งค่าคลาวด์ทั่วไป แต่เป็นปัญหาสองชั้นที่ขยายความเสียหายให้กว้างขึ้นอีก

UK Visa Portal คืออะไร และต่างจากช่องทางราชการอย่างไร

จุดที่ทำให้เหตุการณ์นี้น่ากังวลเป็นพิเศษคือ ผู้ใช้จำนวนมากอาจเข้าใจผิดว่า UK Visa Portal เป็นช่องทางราชการของรัฐบาลอังกฤษ

ความจริงคือ รัฐบาลอังกฤษมีระบบ Electronic Travel Authorization (ETA) อย่างเป็นทางการ ซึ่งเปิดให้ยื่นคำขอในราคา £20 (ประมาณ 920 บาท หรือเทียบเท่า US$26) ผ่านช่องทางของรัฐบาลโดยตรง โดยระบบนี้มีผลบังคับใช้อย่างเต็มรูปแบบสำหรับพลเมืองจากประเทศที่ไม่ต้องขอวีซ่าตั้งแต่วันที่ 25 กุมภาพันธ์ 2569

UK Visa Portal เป็นเว็บไซต์ของบุคคลที่สามที่แยกต่างหากโดยสิ้นเชิง ชื่อและรูปลักษณ์ในผลการค้นหาอาจทำให้เกิดความสับสนกับช่องทางราชการได้ง่าย ที่น่าเป็นห่วงยิ่งกว่าคือ หน่วยงาน Frontex (European Border and Coast Guard Agency) รายงานว่า ณ เดือนกรกฎาคม 2568 มีเว็บไซต์ที่ไม่เป็นทางการในลักษณะนี้มากกว่า 100 แห่ง บางแห่งเรียกเก็บค่าธรรมเนียมสูงถึง €178 (ประมาณ 6,900 บาท) หรือ £200 (ประมาณ 9,200 บาท) ซึ่งสูงกว่าราคาราชการหลายเท่า

ปัญหาความโปร่งใสของผู้ดำเนินการ

สิ่งที่ทำให้สถานการณ์นี้ยิ่งซับซ้อนขึ้นคือ เมื่อ TechCrunch พยายามแจ้งปัญหาด้านความปลอดภัยไปยัง UK Visa Portal พบว่าเว็บไซต์ไม่มีช่องทางรายงานปัญหาด้านความปลอดภัย ไม่มีชื่อผู้บริหาร และไม่มีข้อมูลติดต่อของบริษัทปรากฏอยู่เลย การตอบสนองที่ได้รับมาจากทนายความและบริษัท PR ที่อ้างตัวเป็นตัวแทน ไม่ใช่จากผู้บริหารโดยตรง

ประเด็นนี้ยังเชื่อมโยงกับข้อกำหนดทางกฎหมาย เนื่องจากภายใต้กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร ผู้ดำเนินการมีหน้าที่ต้องแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลต่อสำนักงานข้อมูลคอมมิชชันเนอร์ (ICO) และแจ้งผู้ที่ได้รับผลกระทบ ยังไม่มีการยืนยันว่าผู้ดำเนินการได้ปฏิบัติตามข้อกำหนดเหล่านี้หรือไม่

สิ่งที่ผู้ที่เคยใช้บริการควรทำทันที

หากเคยยื่นคำขอผ่าน UK Visa Portal หรือเว็บไซต์ที่คล้ายกัน ผู้เชี่ยวชาญแนะนำให้ดำเนินการดังต่อไปนี้โดยไม่ต้องรอการแจ้งเตือนจากผู้ดำเนินการ

• ตรวจสอบบัญชีการเงิน อย่างสม่ำเสมอ ทั้งบัญชีธนาคาร บัตรเครดิต และบัตรเดบิต เพื่อหาธุรกรรมที่ผิดปกติ
• เปิดใช้งาน Multi-Factor Authentication (MFA) หรือ Passkey บนบัญชีออนไลน์สำคัญทุกบัญชี
• ระวังอีเมลฟิชชิ่ง ที่แอบอ้างเป็นหน่วยงานราชการหรือสถาบันการเงิน โดยเฉพาะที่เกี่ยวข้องกับการยืนยันตัวตน

สำหรับผู้ใช้บริการในไทยที่เคยยื่นขอ ETA หรือวีซ่าอังกฤษผ่านเว็บไซต์ที่ไม่ใช่ช่องทางราชการ ควรตรวจสอบว่าเว็บไซต์ที่ใช้เป็น gov.uk หรือไม่ และหากมีข้อสงสัย ควรดำเนินมาตรการป้องกันข้างต้นโดยเร็ว เนื่องจากข้อมูลหนังสือเดินทางที่รั่วไหลสามารถนำไปใช้ในการฉ้อโกงได้ทั่วโลก ไม่จำกัดเฉพาะในสหราชอาณาจักร

แหล่งที่มา

• TechRadar — UK Visa Portal website leaks thousands of user passport data and photos online
• TechCrunch — UK Visa Portal spilled thousands of applicants' passports and selfies online — and hasn't fixed the leak
• Prism News — UK visa portal leaks 100,000 sensitive applicant documents online