Một trang web giả mạo cổng xin thị thực Anh mang tên UK Visa Portal đã để lộ hơn 100.000 tài liệu nhạy cảm — bao gồm ảnh hộ chiếu và ảnh selfie xác minh danh tính — trên hệ thống lưu trữ đám mây hoàn toàn không có mật khẩu bảo vệ. Tính đến ngày 26/5/2026, lỗ hổng này vẫn chưa được vá. Đây là cảnh báo quan trọng cho bất kỳ ai đã từng dùng dịch vụ này để xin Electronic Travel Authorization (ETA) vào Anh Quốc.
Hơn 100.000 tài liệu bị phơi bày: Dữ liệu gì đã lộ?
Theo TechCrunch và TechRadar, kho lưu trữ đám mây mà UK Visa Portal sử dụng được cấu hình ở chế độ công khai hoàn toàn — không yêu cầu xác thực, không có mật khẩu. Bất kỳ ai biết đường dẫn đều có thể tải xuống tài liệu của người khác.
Danh sách thông tin bị lộ bao gồm:
- Trang ảnh hộ chiếu: họ tên, số hộ chiếu, quốc tịch, ngày sinh, nơi sinh, ngày cấp và ngày hết hạn
- Ảnh selfie chụp để xác minh danh tính
- Địa chỉ nhà, số điện thoại, địa chỉ email
- Toàn bộ hồ sơ đơn xin cấp phép
Đây là tập hợp PII (thông tin nhận dạng cá nhân) gần như hoàn chỉnh — đủ để tội phạm mạng thực hiện giả mạo danh tính, mở tài khoản ngân hàng gian lận hoặc vay tín dụng dưới tên nạn nhân.
Lỗ hổng kép: Bucket công khai và URL có thể đoán được
Điều đáng lo ngại hơn mức "cấu hình sai thông thường" là cấu trúc URL của hệ thống này được thiết kế theo mẫu có thể đoán trước. Ngay cả kẻ tấn công không có đường dẫn trực tiếp cũng có thể suy luận ra URL của tài liệu người dùng khác chỉ bằng cách thử nghiệm các biến thể.
Nói cách khác, đây là hai lỗi chồng nhau: lưu trữ công khai không xác thực, cộng với thiết kế URL thiếu ngẫu nhiên hóa. Kết quả là toàn bộ kho dữ liệu gần như mở cửa cho bất kỳ ai có kỹ năng cơ bản.
UK Visa Portal không phải cổng chính thức của Chính phủ Anh
Nhiều người dùng nhầm lẫn trang này với cổng ETA chính thức vì tên gọi và giao diện tương tự. Thực tế:
| Cổng chính thức | UK Visa Portal | |
|---|---|---|
| Vận hành bởi | Chính phủ Anh Quốc | Bên thứ ba, không rõ danh tính |
| Phí ETA | £20 (khoảng 650.000 VND) | Lên đến £200 hoặc €178 (khoảng 4.900.000 VND) |
| Bảo mật dữ liệu | Tiêu chuẩn chính phủ | Không có bảo vệ cơ bản |
Theo cơ quan biên phòng châu Âu (Frontex), tính đến tháng 7/2025 đã có hơn 100 trang web không chính thức kiểu này bị phát hiện. Kể từ khi ETA được áp dụng bắt buộc với công dân không cần visa từ ngày 25/2/2026, làn sóng người dùng mới đổ vào đã tạo cơ hội cho các trang giả mạo phát triển mạnh.
Google đã bắt đầu hiển thị cảnh báo "đây không phải trang chính phủ" với một số kết quả tìm kiếm liên quan, nhưng các trang giả mạo liên tục thay đổi thủ thuật để lách qua bộ lọc.
Vận hành mờ ám: Không có kênh báo cáo bảo mật
Khi TechCrunch cố gắng liên hệ để thông báo lỗ hổng, họ phát hiện trang web không có tên lãnh đạo, không có địa chỉ liên hệ kỹ thuật. Phản hồi duy nhất nhận được đến từ luật sư và công ty PR đại diện — không phải từ đội ngũ vận hành trực tiếp.
Đây cũng là dấu hiệu cho thấy trang này có thể không tuân thủ nghĩa vụ thông báo vi phạm dữ liệu cá nhân theo luật bảo vệ dữ liệu của Anh (UK GDPR), vốn yêu cầu báo cáo với Văn phòng Ủy viên Thông tin (ICO) trong vòng 72 giờ sau khi phát hiện sự cố.
Người dùng Việt Nam cần làm gì ngay bây giờ
Nếu bạn hoặc người thân từng sử dụng UK Visa Portal để xin ETA Anh Quốc, hãy thực hiện ngay các bước sau — đừng chờ thông báo từ phía vận hành:
- Kích hoạt xác thực đa yếu tố (MFA) cho tất cả tài khoản quan trọng: email, ngân hàng, ví điện tử (MoMo, ZaloPay, VNPay)
- Theo dõi lịch sử giao dịch ngân hàng và thẻ tín dụng để phát hiện hoạt động bất thường
- Cảnh giác với email/SMS giả mạo từ các tổ chức tài chính hoặc cơ quan chính phủ — đây là thủ thuật phishing phổ biến sau khi dữ liệu bị lộ
- Xin cấp lại hộ chiếu nếu lo ngại nghiêm trọng, vì số hộ chiếu bị lộ có thể bị lạm dụng trong các thủ tục giấy tờ
Đối với người Việt Nam có kế hoạch xin ETA Anh trong tương lai, hãy chỉ sử dụng cổng chính thức tại gov.uk và tìm kiếm trực tiếp thay vì qua quảng cáo hoặc kết quả tìm kiếm không rõ nguồn gốc. Mức phí chính thức chỉ là £20 (khoảng 650.000 VND) — bất kỳ trang nào thu phí cao hơn đáng kể đều là dấu hiệu cảnh báo.
