Bocoran Data 100.000 Paspor di UK Visa Portal: Waspada Situs Palsu ETA Inggris

Situs pihak ketiga bernama UK Visa Portal dilaporkan membiarkan lebih dari 100.000 dokumen sensitif — termasuk scan paspor dan foto selfie verifikasi identitas — terbuka tanpa proteksi di penyimpanan cloud. Hingga 26 Mei 2026, kebocoran ini disebut belum diperbaiki. Bagi warga negara Indonesia yang pernah mengajukan permohonan Electronic Travel Authorization (ETA) Inggris melalui situs tersebut, risiko pencurian identitas dan penipuan finansial menjadi ancaman nyata.

Apa Saja Data yang Bocor?

Berdasarkan laporan TechCrunch yang dikutip TechRadar, penyimpanan cloud milik UK Visa Portal dikonfigurasi dalam kondisi publik penuh — tanpa kata sandi, tanpa autentikasi. Siapa pun yang mengetahui polanya dapat mengakses dokumen di dalamnya.

Data yang diduga bocor mencakup:

• Nama lengkap, nomor paspor, kewarganegaraan, tanggal lahir, dan tempat lahir
• Tanggal penerbitan dan masa berlaku paspor
• Alamat rumah, nomor telepon, dan alamat surel
• Foto halaman identitas paspor
• Foto selfie yang digunakan untuk verifikasi identitas

Kombinasi informasi ini — yang dalam dunia keamanan siber disebut sebagai PII (Personally Identifiable Information) — sangat bernilai bagi pelaku kejahatan siber. Dengan data selengkap ini, seseorang dapat membuka rekening bank palsu, mengajukan pinjaman atas nama korban, atau melancarkan serangan phishing yang sangat meyakinkan.

Dua Kelemahan Sekaligus: Bucket Publik dan URL yang Mudah Ditebak

Yang membuat insiden ini lebih serius dari sekadar kesalahan konfigurasi biasa adalah adanya dua lapisan kerentanan secara bersamaan.

Pertama, penyimpanan cloud diatur sebagai publik tanpa proteksi apa pun. Kedua — dan ini yang lebih mengkhawatirkan — struktur penamaan direktori file disebut mengikuti pola yang mudah ditebak. Artinya, penyerang yang bahkan tidak memiliki tautan langsung pun berpotensi mengakses dokumen milik pengguna lain hanya dengan menebak pola URL tersebut.

Perlu dicatat bahwa per 26 Mei 2026, perbaikan atas kerentanan ini belum dikonfirmasi. Jumlah dokumen yang terdampak pun masih bisa berubah seiring investigasi berlanjut.

UK Visa Portal Bukan Situs Resmi Pemerintah Inggris

Salah satu akar masalah yang membuat banyak orang terjebak adalah kesalahpahaman mengenai status situs ini. Pemerintah Inggris menyediakan layanan ETA secara resmi dengan biaya £20 (sekitar Rp 410.000 atau setara US$25). UK Visa Portal adalah entitas pihak ketiga yang berbeda, bukan bagian dari sistem resmi pemerintah Inggris.

Nama domain dan tampilannya yang menyerupai portal resmi membuat sejumlah pemohon salah mengira bahwa mereka sedang menggunakan layanan pemerintah. Fenomena ini bukan hal baru — situs-situs serupa tumbuh pesat seiring diberlakukannya ETA secara penuh pada 25 Februari 2026 untuk warga negara non-visa. Lembaga perbatasan Eropa bahkan mencatat lebih dari 100 situs tidak resmi serupa pada Juli 2025, dengan beberapa di antaranya memungut biaya hingga €178 (sekitar Rp 3.115.000) atau £200 (sekitar Rp 4.100.000) — jauh di atas tarif resmi.

Google dilaporkan mulai menampilkan peringatan "bukan situs pemerintah" pada hasil pencarian terkait, namun pelaku terus memperbarui taktik mereka.

Laporan Keamanan Diabaikan, Jalur Komunikasi Tertutup

Situasi ini diperparah oleh ketidaktransparanan pihak pengelola. Ketika TechCrunch mencoba melaporkan celah keamanan ini, mereka menemukan bahwa situs UK Visa Portal tidak menyediakan mekanisme pelaporan kerentanan, tidak mencantumkan nama manajemen, dan tidak menyediakan informasi kontak perusahaan.

Notifikasi yang dikirim ke alamat surel publik hanya mendapat respons dari pengacara dan perusahaan PR yang mengaku sebagai perwakilan — bukan dari pihak manajemen langsung. Selain itu, muncul pertanyaan apakah pengelola telah memenuhi kewajiban hukum untuk melaporkan pelanggaran data pribadi kepada Information Commissioner's Office (ICO) Inggris, sebagaimana diwajibkan oleh regulasi perlindungan data.

Langkah yang Perlu Dilakukan Jika Pernah Menggunakan Situs Ini

Jika Anda pernah mengajukan permohonan ETA Inggris melalui UK Visa Portal, jangan menunggu notifikasi resmi dari pihak pengelola. Ambil langkah perlindungan berikut secara proaktif:

1. Pantau rekening dan kartu kredit secara rutin untuk mendeteksi transaksi atau pembukaan akun yang tidak dikenal
2. Aktifkan autentikasi multi-faktor (MFA) atau passkey pada akun-akun penting seperti surel, perbankan digital, dan media sosial
3. Waspadai surel phishing yang mengatasnamakan instansi resmi atau lembaga keuangan — data yang bocor dapat digunakan untuk membuat pesan penipuan yang sangat personal dan meyakinkan

Bagi pembaca di Indonesia yang berencana mengajukan ETA Inggris, pastikan hanya menggunakan situs resmi pemerintah Inggris di gov.uk/apply-for-an-eta. Informasi mengenai dampak langsung insiden ini terhadap pemohon asal Indonesia belum diumumkan secara spesifik, namun siapa pun yang pernah menggunakan UK Visa Portal — tanpa memandang kewarganegaraan — berpotensi terdampak.

Sumber

• TechRadar — UK Visa Portal website leaks thousands of user passport data and photos online
• TechCrunch — UK Visa Portal spilled thousands of applicants' passports and selfies online — and hasn't fixed the leak
• Prism News — UK visa portal leaks 100,000 sensitive applicant documents online